Messages : 3,719
Sujets : 61
Inscription : Nov 2013
Réputation :
0
Salut
Je sais pas si il y a des pro de la Virtualisation et du Firewall, mais je pense qu'il y a probablement qq spécialistes qui traine ici.
Pour situer un peu le contexte :
A la base je suis électricien donc il me manque plein de base informatique, l'avantage d'internet c'est que l'on peut piocher les info a droite et gauche et au fil du temps on peut si apprendre quelques bases, mais on peut aussi parfois par manque de temps ou de connaissance mettre en place des choses qui marche mais peu être pas de la meilleur facon.
Ca n'empeche que j'ai au fil du temps pas mal bidouiller sur des serveur Linux et j'ai gouté a la virtualisation au début sur VMWare Workstation puis je me suis un petit Homelab sous ESXI 5 (Un petit NAS 24 DDur avec carte RAID Xeon Low TDP ...), je passe sur toute les petites machine Raspberry PI 1/2/3/4 qui sont déjà passé entre mes mains.
Depuis quelques mois je me suis réorienté vers Promox qui est un hyperviseur (basé sur une Debian) que l'on peut comparé a ESXI, mais le gros avantage est qu'il peut tourner sur n'importe quel configuration contrairement a ESXI qui supporte un nombre limité de config dans la version gratuite. Sans compter les config qui ne sont plus supporté après une mise a jour ESXI
Passons aux questions du jour :
Mes questions tournent autour de la sécurisation et donc du/des Firewall.
Par facilité et car je ne maitrise pas des masses quand je fais tourner une machine virtuelle je n'active pas de firewal au niveau de mes VM/Container ni au niveau de proxmox.
1.Je me dis que j'ai un Firewall dans le routeur donc a quoi bon activer un Firewall sur les machine Linux de réseau local ?
2.Quel risque y a t-il a ne pas mettre de firewall sur une machine Linux local ?
Avoir un PC local infecté qui chercherais d'autres machines ?
3.Si je souhaite activer les Firewall a quel niveau faut-il le faire ?
Par exemple si je prend l'exemple de proxmox, on peut activer le firewall au niveau de proxmox pour protéger les VM/Container,
Mais du coup je suppose que cela ne sert a rien d'activer le firewall dans la distrib de la VM ?
Maintenant passons a un autre cas, celui d'une config basé sur un Routeur Logiciel virtualisé :
- Actuellement, j'ai viré ma box.
- J'ai une machine qui fait tourner Proxmox
- Je fais rentrer ma Fibre dans un ONT (terminaison de réseau optique) sur une carte réseau SFP.
- Dans proxmox j'ai paramétré un pont qui pointe vers le port.1 de la carte réseau qui contient l'ONT, c'est le coté WAN du routeur
Note : Je ne fais pas de Passthrough de la carte.
- Une seule distribution utilise ce pont, c'est celle sur laquelle je fait fonctionner mon Routeur Logiciel (Actuellement CHR de Mikrotik, mais j'ai ca pourrait être pfsense ou OPNsense ou VyOS...)
- Ensuite un autre pont fait la liaison avec le port2 de ma carte réseau SFP, c'est le coté LAN du routeur, ce port est brassé ensuite sur un switch.
La sécurité principale repose donc sur le routeur, c'est la dedans que j'ai mis des règles pour fermer la portes aux intrus.
4.Mon proxmox est-il vulnérable depuis l'exterieur vue que le routeur est en frontal ?
5.Si j'active le Firewall dans proxmox c'est bien pour me protéger localement ?
KNX Partner Base / Avancé
Ma boite de MP est pleine, merci de créer un post si vous avez une question, cela profitera a tout le monde.
Messages : 312
Sujets : 6
Inscription : Aug 2020
14/02/2021, 19:01:46
(Modification du message : 14/02/2021, 19:07:02 par Weee.)
Salut filou59,
Tu m'aides beaucoup sur le KNX et l'électricité en général, à mon tour d'essayer de t'aider.
Tout d'abord je vois que sans être un pro tu es un grand bidouilleur, cela te permet de comprendre pas mal de notions.
(13/02/2021, 11:46:28)filou59 a écrit : Passons aux questions du jour :
Mes questions tournent autour de la sécurisation et donc du/des Firewall.
J'aime bien faire le parallèle entre la sécurité et une assurance, c'est toujours trop cher quand on en a pas besoin...
Par contre en cas de soucis cela vous sauve la mise !
(13/02/2021, 11:46:28)filou59 a écrit : 1.Je me dis que j'ai un Firewall dans le routeur donc a quoi bon activer un Firewall sur les machine Linux de réseau local ? En fait le firewall du routeur va te protéger des attaques d'Internet, ou entre tes différents réseaux en interne.
Mais ce pare-feu sera totalement inefficace si l'attaque provient du même réseau, car sur un même réseau les machines parlent entre elles sans passer par ta passerelle (qui dans l'idéal est aussi ton firewall).
(13/02/2021, 11:46:28)filou59 a écrit : 2.Quel risque y a t-il a ne pas mettre de firewall sur une machine Linux local ?
Avoir un PC local infecté qui chercherais d'autres machines ? Oui en gros c'est ça, qu'un PC infecté ou dont un attaquant aurait pris le contrôle, tente de s'étendre ou de pirater d'autre machines de ton réseau.
Le pare-feu iptables sur Linux est vraiment très simple à mettre en place et à gérer, en gros pour pas trop cher en temps tu peux faire :
1) Tu fermes tout
2) Tu ouvres seulement ce dont tu as besoin
3) Tu met tout cela dans un script qui sera exécuté au démarrage
(13/02/2021, 11:46:28)filou59 a écrit : 3.Si je souhaite activer les Firewall a quel niveau faut-il le faire ?
Par exemple si je prend l'exemple de proxmox, on peut activer le firewall au niveau de proxmox pour protéger les VM/Container,
Mais du coup je suppose que cela ne sert a rien d'activer le firewall dans la distrib de la VM ? Tout va dépendre de ton architecture réseau en fait, si par exemple ton Proxmox est en 192.168.0.10/24, et tes VM sont sur ce même réseau par exemple 192.168.0.11 à 16, le pare-feu de Proxmox ne protégera que la machine Proxmox.
Pour les Container, s'ils sont sur un réseau interne par exemple 172.16.2.0/24 avec par exemple 172.16.2.1 à 172.16.2.32 pour tes containers, et que c'est la machine Proxmox qui reçoit les connexions puis redirige les ports ouverts où il faut, le pare-feu de Proxmox peut te suffire oui.
Mon conseil vu que tu dois certainement avoir tes VM sur le même réseau que ton Proxmox et tes containers sur un autre, active le pare-feu sur Proxmox et sur tes VM.
(13/02/2021, 11:46:28)filou59 a écrit : Maintenant passons a un autre cas, celui d'une config basé sur un Routeur Logiciel virtualisé : Déjà bravo, tu n'es certes pas du métier mais tu fais des choses que certains informaticiens ne font même pas !
(13/02/2021, 11:46:28)filou59 a écrit : 4.Mon proxmox est-il vulnérable depuis l'exterieur vue que le routeur est en frontal ? Alors oui... il peut être vulnérable en cas de faille de ton firewall CHR de Mikrotik, OPNSense avant, une faille 0-day ou une faille découverte et que tu n'as pas encore patché.
Un attaquant pourrait alors exploiter une telle faille et obtenir un accès root et donc faire ce qu'il veut... y compris ouvrir ce qu'il veut pour ensuite attaquer ton infra.
On est d'accord que c'est hypothétique et que les chances sont très faibles, mais ce genre de faille existe malheureusement.
Je ne parle pas volontairement des failles au niveau des architectures processeur tel que Spectre ou Meltdown on l'on pourrait en théorie depuis une VM avoir accès à la mémoire des autres VMs et de ton hyperviseur... donc si ton point d'entré est vérolé c'est cuit.
Ce qu'il faut retenir c'est que ce genre de failles critiques sont très rares mais peuvent exister.
(13/02/2021, 11:46:28)filou59 a écrit : 5.Si j'active le Firewall dans proxmox c'est bien pour me protéger localement ? Oui tout à fait tu protégera ton Proxmox des attaques locales.
Et également d'Internet si par étourderie tu rediriges des ports dessus et que derrière c'est un soft vulnérable qui écoute... hypothétique mais pas impossible.
Pour résumer
Je pense que tu devrais activer le pare-feu de ton hyperviseur mais également de tes VM si tu le peux.
Messages : 312
Sujets : 6
Inscription : Aug 2020
14/02/2021, 19:12:14
(Modification du message : 14/02/2021, 19:14:36 par Weee.)
Ah aussi un conseil simple et facile à suivre, dans la mesure du possible soit bien à jour sur tous tes équipements / serveurs.
Notamment si le changelog annonce qu'il y a des correctifs de sécurité.
Je n'en ai pas parlé mais depuis quelques temps ce sont les attaques par ransomware qui ont la cote.
Ces salopiaud sont capables de chiffrer aussi bien les machines Windows qu'Unix...
Donc pense bien à désactiver tout ce qui est partage Windows (tu sais les partages UNC qu'on utilise avec \\IP_DU_SERVEUR ou \\NOM_DU_SERVEUR) ou Linux (NFS) si tu ne les utilisent pas, sinon si tu ne sais pas faire tu peux les bloquer avec le pare-feu de l'OS.
Si tu as d'autres questions plus pointues, n'hésites pas à me contacter en MP ça sera avec plaisir.
Messages : 3,719
Sujets : 61
Inscription : Nov 2013
Réputation :
0
Merci pour tes précieuses réponses.
J'ai du pain sur la planche comme on dit.
Citation :Déjà bravo, tu n'es certes pas du métier mais tu fais des choses que certains informaticiens ne font même pas !
Merci
Oui je sais, quand on sait que parfois certains informaticiens n'ont jamais ouvert un PC, crient au secours au moindre soucis ... même si en quelques diziane d'année l'informatique a drolement évolué tellement il peut y avoir de spécialisation ou autre c'est devenu un domaine très vaste.
Mais bon pour en revenir a moi, on dit qu'une des qualités principales d'un bon maintenancier et la curiosité, il faut se tenir a la page constamment et pas forcément que dans son domaine.
L'automatisme a migrer par exemple vers l'Ethernet en quelques années et il faut a tout prix avoir quelques notion dans pas mal de domaine.
Par contre etre trop curieux n'a pas que des avantages car les journées ne fond que 24h et le danger c'est d'avoir trop d'idées farfelu a vouloir mettre en oeuvre
Ca parait tout con, mais avec la solution que j'ai mise en place j'arrive maintenant a forcer les DNS a passer par un PiHole maintenant même si l'utilisateur a mis d'autre DNS en statique.
Chose que je ne savais pas faire directement sur la box de l'operateur.
Même si les loupiots sont petit 1 et 4ans, je me dis qu'a leur place, si ils sont un peu curieux comme je l'ai été, qu'ils ne mettrons pas longtemps avant de tenter de contourner les blocages que je tenterais d'effectuer, du coup autant prendre un peu d'avance
Et puis là du coup je me dis, mon Pihole (dans une version antérieur) plantait de temps en temps, ca serrait bien de faire un système de haute disponibilité, en gros avoir 2 PiHole lancé, un maitre et un backup. Ca permet d'avoir un systeme de secours même pendant une opération de maintenance, par exemple mis a jour, intervention sur l'hote proxmox etc...
Une IP virtuelle pour celui qui est actif et les DNS qui pointe sur cette IP.
Bon ca c'est la partie simple, oui mais vue que je veux utiliser le DHCP sur le pihole pour faciliter la résolution de nom des machine locale, il faut savoir gérer cette partie là aussi pour pas avoir 2 DHCP sur le même LAN.
Bref c'est plus fun que de redémarrer bêtement la machine régulièrement
Pour en revenir a la sécu et au Firewall :
-J'essaie de bien comprendre et cerner les potentiels failles qu'il peut y avoir pour pouvoir travailler dessus.
-Prochainnement je vais me mettre a la recherche de moyen pour tester mon infra aussi bien depuis l'extérieur, que depuis l'intérieur.
-J'ai déjà lancé des tests depuis des sites qui le propose pour m'assurer que les ports sont bien fermé, mais je veux pousser un peu plus loin.
-Je vais probablement investir dans un routeur 4G qui me permettra de faire des tests de chez moi afin de comprendre l'impact de tel ou tel règle sur mon firewall.
Rien de tel que faire des test en live et de mesurer les conséquences et les effets de tel ou tel règle, sachant que la position d'une règle peut rendre inopérant toutes les suivantes,
Mais j'aimerais aussi m'assurer que tel ou tel port est bien bloqué, (On peu le faire depuis des sites, mais c'est encore mieux si on test soit même)
Mais aussi bloquer les scan de port, bloquer les tentatives infructueuse de connexion (Fail2Ban ...)
bref c'est intéressant de bien comprendre le mécanisme et de valider tel ou tel chose.
Accessoirement le routeur me servira aussi quand on part en vacance car je quitte jamais le PC Portable (Geek 1 jour, Geek toujours )
-En interne je vais aussi activer les Firewall progressivement, mais là aussi je veux essayer de tester tout ca et comprendre.
-Pour les MAJ tu as raison, normalement je fais en sorte de les faire régulièrement , selon la machine je fais de plus en plus des MAJ automatiques selon le degré d'importance.
-Les Atttaques par Ransomware, oui c'est un peu ma hantise, c'est pour ca que je réfléchi depuis plusieurs mois a remettre a plat toutes mes données afin de les sauvegarder/dupliquer sur plusieurs machines, dont certaines ne serait pas sous tension en permanence, "les machines de backup" serait peu être les seuls a initier les connexions vers les machines a sauvegarder.
-La mise en place du système de fichier ZFS permet de faire des backup/synchro/snapshot assez facilement, couplé a des envoi distant cela peu permettre d'obtenir un niveau de sécurité je l'espere intéressant.
-Je pense qu'il faut que je sécurise au maximum la partie hyperviseur sur laquelle le système de fichier ZFS sera en place.
En gros si une machine est vérolé et qu'elle accède a des données qui sont sur un pool en partage, j'aurais une sauvegarde.
Par contre si c'est la machine qui hôte qui est infecté, là suivant la brèche il peut y avoir plus de dégât.
- Pour les partages Windows c'est noté je regarderais, mais quand tu dis de désactiver les partages UNC, tu désactives tout ?
Même si tu as besoin de partager de fichiers ?
Désactiver des partage du style tout un disque comme C:\ OK
Mais par contre définir un dossier \Partage dans lequel je veux mettre a disposition des fichiers a d'autre PC, est-ce que cela pose un risque ?
-Au niveau des mes machines linux, je fais en sorte de ne partager que ce qui est nécessaire.
Par exemple si j'ai un serveur pour la ZIK, seul le dossier qui contient les MP3 est partagé, ce dossier étant lui même backupé.
Par contre il faudrait probablement que j'applique un peu plus de restriction, ca ne pourrait pas faire de mal, car actuellement c'est du NFS et c'est openbar sur ce dossier pour tout le réseau, mais bon c'est limité a ce dossier.
-Après si on met en place un NAS ou une distrib qui joue le role de NAS dans mon cas le but c'est bien de partagé les fichier sur le réseau.
Donc il faut bien y réfléchir.
-Je pense qu'une des clé c'est aussi les droits que l'on met sur nos PC, attention aux utilisateurs commun entre plusieurs PC ?
-Au taf on s'était fait infecté qq machine il y 4/5 ans par un vieux virus des années 2000 qui se promenait grâce a des droits commun entre plusieurs serveur.
-Plus récemment on a été, un de nos site a été victime au taf d'une attaque par ransomware, une filiale racheté qq mois auparavant, notre service informatique a été sur le pied de guerre pendant plusieurs semaine aidé par Orange Cyberdéfense.
Le ou les attaquant étaient rentré on ne sait comment, mais des traces ont montré qu'il avait réussi a s'implanté tranquillement plusieurs mois avant dans l'active directory, il avait pris des droits puis un a déclencher tout le basar un dimanche matin a 2h00 du mat.
Autant dire c'est assez efficace.
Le site et toujours coupé du monde et n'a toujours pas été reconnecté a notre réseau par crainte d'une nouvelle contamination qui serait éventuellement de plus grande envergure et qui paralyserait toute la boite.
Surtout que ce qui change beaucoup avec la fibre mine de rien c'est que l'on est quasiment en IP Fixe, les changements d'IP selon les opérateurs sont extrêmement rare du coup si faille il y a l'attaquant a du temps devant lui.
Au tout début de l'ADSL l'IP changeait tout les jours, puis avec le temps elle changeait de moins en moins souvent, mais un peu plus j'ai l'impression qu'en fibre.
KNX Partner Base / Avancé
Ma boite de MP est pleine, merci de créer un post si vous avez une question, cela profitera a tout le monde.
Messages : 1,269
Sujets : 88
Inscription : Jul 2016
(15/02/2021, 08:05:30)filou59 a écrit : Ca parait tout con, mais avec la solution que j'ai mise en place j'arrive maintenant a forcer les DNS a passer par un PiHole maintenant même si l'utilisateur a mis d'autre DNS en statique.
Chose que je ne savais pas faire directement sur la box de l'operateur.
Même si les loupiots sont petit 1 et 4ans, je me dis qu'a leur place, si ils sont un peu curieux comme je l'ai été, qu'ils ne mettrons pas longtemps avant de tenter de contourner les blocages que je tenterais d'effectuer, du coup autant prendre un peu d'avance
Et puis là du coup je me dis, mon Pihole (dans une version antérieur) plantait de temps en temps, ca serrait bien de faire un système de haute disponibilité, en gros avoir 2 PiHole lancé, un maitre et un backup. Ca permet d'avoir un systeme de secours même pendant une opération de maintenance, par exemple mis a jour, intervention sur l'hote proxmox etc...
Une IP virtuelle pour celui qui est actif et les DNS qui pointe sur cette IP.
Bon ca c'est la partie simple, oui mais vue que je veux utiliser le DHCP sur le pihole pour faciliter la résolution de nom des machine locale, il faut savoir gérer cette partie là aussi pour pas avoir 2 DHCP sur le même LAN.
Bref c'est plus fun que de redémarrer bêtement la machine régulièrement
Hello Filou,
Je serai curieux de savoir comment tu as fait pour forcer le serveur DNS car je suis à peu prêt dans le même cas que toi. J'utilise Adguard-home (équivalent de Pihole), que j'utilise comme serveur DNS pour tous les Vlans de mon réseau Unifi mais je pense que si on est sioux et que l'on change le serveur DNS par defaut sur le PC ou le smartphone, on peut contourner le filtre.
De plus, j'ai vu que tu es en fibre et que tu as squizé complètement la box te ton fournisseur. Chez qui es-tu? Orange? Free?
Je suis chez Free et je cherche un ONT en terminaison SFP+ compatible 10G Free, et ce n'est pas simple.
Messages : 3,719
Sujets : 61
Inscription : Nov 2013
Réputation :
0
Salut Kevlille
Je suis chez Orange
Si tu veux des info, si tu ne connais pas va faire un tour sur le forum lafibre.info
Il y a des sections remplacement de routeur.
Je ne sais pas ou en sont les avancés concernant les remplacement de box Free, cela dépend vraiment des FAI.
Le casse tete effectivement quand l'opérateur ne permet pas d'effectuer l'opération officiellement c'est de trouver un ONT compatible avec l'opérateur, mais surtout un ONT que l'on pourra paramétrer afin de faire croire au FAI qu'il a en face de lui une box de chez lui.
Pour ne pas facilité la tache cela dépend aussi du matos qu'il y a de l'autre coté de l'ONT coté FAI. Certains paramètre passant chez certains mais pas chez d'autres, c'est un travail de fourmi.
Ca c'est la 1ere etape, ensuite en fonction du type d'authentification et de la surcouche du FAI, il faut parfois modifier ou que les soft négociant la connexion soit adapté afin d'envoyer les bonnes chaines/options
Ce qui n'arrange pas les choses c'est que la quete de l'ONT qui va bien est mondiale.
C'est d'ailleurs grace a ca que certains ont reussi, les recherches ont commencé au canada, mais on s'apercoit que les gens travaille a ca aussi en espagne bref un peu partout...
Du coup les modeles d'ONT que l'on trouvait plus ou moins facilement sur ebay ou autre deviennent rare.
Pour en revenir au DNS :
Si on ne fait le prb c'est qu'il suffit de changer soit meme les DNS et de les mettre en statique.
On contourne du coup Pihole, car le but c'est de faire un peu le ménage dans les pub mais aussi de faire du filtrage pour les gosses par exemple, les empecher d'aller sur certains site via des service comme OpenDNS (ou l'on peut filtrer par theme).
La solution c'est quelques règle a appliquer dans le routeur, on redirige tout le trafic sur port 53 qui n'est pas destiné a PiHole vers PiHole.
Comme ca les petits malins devront élever leur niveau.
Alors il y a moyen de contourner en passant par un VPN car là du coup les requetes DNS ne passent plus par le routeur, mais on peut bloquer les sites de VPN pour les ralentir afin qu'ils ne puissent pas se connecter chez les fournisseurs de VPN.
Sur le routeur Mikrotik ca ressemble a ca :
Code : /ip firewall nat
add action=dst-nat chain=dstnat comment="Redirect DNS to PiHole" dst-address=!192.168.10.9 \
dst-address-list="" dst-port=53 protocol=udp src-address=!192.168.10.9 src-address-list="" \
to-addresses=192.168.10.9 in-interface=ether2-LAN
add action=dst-nat chain=dstnat dst-address=!192.168.10.9 dst-address-list="" dst-port=53 \
protocol=tcp src-address=!192.168.10.9 src-address-list="" to-addresses=192.168.10.9 in-interface=ether2-LAN
#All DNS queries to PiHole shall appear to come from the router
add action=masquerade chain=srcnat comment="Hairpin NAT for PiHole" dst-address=192.168.10.9 \
protocol=udp src-address=192.168.10.0/24
add action=masquerade chain=srcnat dst-address=192.168.10.9 protocol=tcp
Dans le routeur on peut aussi faire du filtrage de Niveau 7, si ca parle a certains. Ca peut en complement d'OpenDNS faire du filtrage encore plus ciblé.
KNX Partner Base / Avancé
Ma boite de MP est pleine, merci de créer un post si vous avez une question, cela profitera a tout le monde.
Messages : 1,179
Sujets : 4
Inscription : Jun 2016
Salut
Comme tu dis les journées ne font que 24h, pour les curieux c'est trop court
un article de pi-hole à adguard-home
Pour la 4G
Mikrotik
Teltonika
GL.inet
Messages : 3,719
Sujets : 61
Inscription : Nov 2013
Réputation :
0
15/02/2021, 12:40:06
(Modification du message : 15/02/2021, 12:40:34 par filou59.)
(15/02/2021, 11:33:44)fabric24 a écrit : Salut
Comme tu dis les journées ne font que 24h, pour les curieux c'est trop court
un article de pi-hole à adguard-home
Pour la 4G
Mikrotik
Teltonika
GL.inet
Yes, j'ai repéré chez Mikrotik :
-Audience LTE6
-Chateau LTE12
Audience pourrait me permettre de faire évoluer mon WIFI chez moi vue que la couverture n'est pas bonne, bien que je serais bien passé en WIFI6.
Par contre pas de possibilité (sauf a ouvrir la bete) de mettre une antenne externe pour la 4G
Chateau lui permet d'utiliser des antenne 4G
L'avantage c'est qu'avec l'un ou l'autre je reste avec le routeur Mikrotik et vue que je commence a me faire la main avec leur soft maison/langage, je ne serais pas dépaysé.
Pour Adguard vs PiHole
Oui je connais mais pas encore essayé.
PiHole est passé en v5 il y a quelques temps et fonctionne actuellement pas trop mal.
Pour le moment PiHole garde je pense un avantage (dans mon cas) si l'on souhaite se servir du dhcp serveur et pour la résolution de nom local via dnsmasq ou autre ...
La communauté PiHole a l'avantage d'etre assez importante, mais c'est vrai qu'il y a bcp de migration, chez HomeAssistant le plugin PiHole ne sera plus maintenu a jour par l'auteur, il explique que c'est dificile a faire avec PiHole et qu'il est passé sous Adguard qu'il a intégré a HA....
bref encore un choix cornélien
Sinon il faudrait que je mette en place une autre solution pour la partie DHCP/Résolution de nom...
Idéalement je le réactive coté Routeur ce qui serait le plus logique, il faut que je regarde pour la partie resolution de nom en local, j'avais pas été inspiré par les solutions que j'avais vue.
Moi qui croyait voir le bout du tunnel sur ce sujet ... je crois que je vais bientot essayer.
KNX Partner Base / Avancé
Ma boite de MP est pleine, merci de créer un post si vous avez une question, cela profitera a tout le monde.
Messages : 1,269
Sujets : 88
Inscription : Jul 2016
@Filou
Je vais regarder sur Unifi, il me semble qu'il y a moyen de forcer le trafic sur le port 53 dans les settings.
Pour se passer de la box, j'attends encore car bien que faisable sur Dream Machine Pro d'Ubiquiti (en bidouillant of course) cela saute à chaque reboot... donc en gros à chaque MAJ du Dream Machine Pro.
Je verrais donc cela plus tard quand ubiquiti aura amélioré le soft Unifi avant d'investir dans un ONT sans être sûr qu'il soit compatible Free ;-)
Pour Adguard, je te conseille. J'étais sous Pihole et je ne regrette pas le passage sous Adguard. On peut réutiliser les listes Pihole si tu en avais des custom.
Messages : 3,719
Sujets : 61
Inscription : Nov 2013
Réputation :
0
Citation :Pour Adguard, je te conseille. J'étais sous Pihole et je ne regrette pas le passage sous Adguard. On peut réutiliser les listes Pihole si tu en avais des custom.
Vous m'avez eu avec Adguard , mais pour le moment je ne suis pas encore convaincu
1.Bon la migration des listes un peu galere.
La ou Pihole on copie toutes les lignes j'en ai pas mal, sous adguard via l'inrface web , il faut copier coller ligne par ligne.
2.Pour le moment je suis un peu perdu niveau DNS.
Sous PiHole c'etait plus clair, les DNS que l'on choisi dans l'interface sont automatiquement répercuté dans le fichier :
/etc/resolv.conf
Du coup il n'y pas d'ambiguité.
Sous Adguard, visiblement ca fonctionne autrement.
Sinon j'en reve
3.Au niveau de la résolution de nom local, je n'y arrive pas pour le moment.
Ici par exemple j'ai 3 client non identifié, l'un d'eux a une ip dynamique et l'autre une statique.
Sous PiHole avec le DHCP dessus j'ai ceci : que ce soit IP Dynamique ou Statique
Je dis pas que le prb vient d'Adguard mais pour le moment je ne maitrise pas ce type de config avec mon routeur.
Je vais d'abord essayer sans Adguard avec du classique pour ensuite venir l'inserer dans la boucle.
KNX Partner Base / Avancé
Ma boite de MP est pleine, merci de créer un post si vous avez une question, cela profitera a tout le monde.
Messages : 1,269
Sujets : 88
Inscription : Jul 2016
Re Filou,
Pour la partie DHCP je ne pourrai t'aider car je fais tout cela sous Unifi... J'utilise Adguard uniquement comme serveur DNS.
Pour les listes, oui malheursement il faut les entrer liste par liste. Peut-être faisable en montant le dossier de config d'Adguard? Je n'ai pas testé car je n'utilise pour le moment que 4 listes....
A ce sujet, tu les as créé toi même ou récupéré sur le net? Tu partages ? ;-)
Messages : 3,719
Sujets : 61
Inscription : Nov 2013
Réputation :
0
Bon j'ai résolu mon 1er problème la résolution de nom local.
Pour le moment j'ai désactivé AdGuard et PiHole.
Dans un 1er temps j'ai réussi a faire fonctionner cette résolution de DNS dans le routeur, mais pas ailleurs sur mon réseau local.
En fait c'etait due a un réglage trop strict qui empêche le routeur de résoudre les noms en local, mais a la base ce réglage était fait pour que mon routeur ne serve pas de DNS depuis l'exterieur...
En désactivant cette option la résolution de nom sur le local c'est mise a fonctionner.
Du coup il a fallu que je trouve les règle adequat pour fermer le port sur l'extérieur.
C'est tout bon
J'y suis aller un peu a taton pour le coup, je suis même passé par une désactivation de la connexion internet le temps de désacter toute mes règles firewall/nat afin pour m'assurer que ca ne venait pas de là
KNX Partner Base / Avancé
Ma boite de MP est pleine, merci de créer un post si vous avez une question, cela profitera a tout le monde.
Messages : 3,719
Sujets : 61
Inscription : Nov 2013
Réputation :
0
(16/02/2021, 10:23:12)Kevlille a écrit : A ce sujet, tu les as créé toi même ou récupéré sur le net? Tu partages ? ;-)
Oui pas de prb je t'envoi ca, ce sont des liste trouvé sur 2 ou 3 sites référencé chez Pi-Hole
J'en avais plusieurs depuis un petit moment et je viens de les mettre a jours mais en mode bourin sans trop faire de tri, si ca bloque il faudra peu etre faire un peu de Whitelist que j'ai aussi.
Sur Proxmox tu as pu avancé ?
KNX Partner Base / Avancé
Ma boite de MP est pleine, merci de créer un post si vous avez une question, cela profitera a tout le monde.
Messages : 1,269
Sujets : 88
Inscription : Jul 2016
Re,
Pas encore eu le temps de jouer avec Proxmox, plein de taff cette semaine... vivement les vacances ;-)
Messages : 1,179
Sujets : 4
Inscription : Jun 2016
Bonjour
@Filou59, je ne disais pas que adguard était mieux, juste un article que j'ai lu.
Pour te dire j'avais juste mis pihole mais pas vraiment utilisé.
c'est encore un truc qu'il faudrait installer mais il faut trouver le temps
Pour liste de blocage sur le téléphone, j'utilise
https://sebsauvage.net/wiki/doku.php?id=dns-blocklist
Messages : 3,719
Sujets : 61
Inscription : Nov 2013
Réputation :
0
Citation :@Filou59, je ne disais pas que adguard était mieux, juste un article que j'ai lu.
Oui oui t'inquiette, mais en fait il y a une tendance sur le net a ce que bcp de monde passe sur Adguard, comme ci du jour au lendemain PiHole etait devenu obsolete ou que Adguard surpassé PiHole
Je veux bien admettre qu'il a qq truc en plus, il s'install plus vite apparemment, ensuite la philosophie sur certain point change et il faut comprendre comment adapter ce que l'on avait avant.
Comme ce projet est assez récent, on trouve aussi moins de ressource, ce qui est évident pour certains anglophone l'est bcp moins pour un petit electricien Francais qui comprend pas forcement toutes les subtilité et qui sort de qq année de bon et loyaux service avec PiHole
Bon en tout cas je vous dit a moitié merci, je me suis égaré un petit peu avec Adguard comme ci j'avais que ca a faire ,
-ca m'a permis de comprendre comment resoudre les noms localement avec mon Mikrotik,
-je vais repasser sur PiHole pour le moment histoire de finir et de valider ma Haute Dispo que j'avais presque fini avec PiHole, ca m'arrande pour le coup de plus gerer le DHCP sur PiHole, ca simplifie les choses.
-Je testerais plus attentivement Adguard des que je trouve un peu de tps.
KNX Partner Base / Avancé
Ma boite de MP est pleine, merci de créer un post si vous avez une question, cela profitera a tout le monde.
Messages : 312
Sujets : 6
Inscription : Aug 2020
Salut à tous,
Filou, je voulais te répondre point par point mais il y a beaucoup de nouveaux posts donc c'est fort possible que j'en oublie.
Tu parlais à un moment d'avoir 2 serveurs DNS et une IP flottante qui irait sur le primaire.
C'est clairement une mauvaise idée pour un service aussi central que cela, les bonnes pratiques c'est d'en utiliser 1 en principal et l'autre en secondaire.
Et donc de configurer tes machines en ce sens, le principal en 1er, le secondaire en second.
C'est d'ailleurs ce que font les FAI et les services DNS (Google, OpenDNS, Cloudflare, etc...), ce n'est pas pour rien
Après je ne connais que de nom AdGuard et PiHole car j'utilise actuellement autre chose.
Il faudrait voir s'ils ont des fonctionnalités cluster afin de pouvoir gérer les 2 serveurs de manière active / passive et qu'en cas de panne le secondaire puisse reprendre la main.
Sinon il faut le faire "à l'ancienne" avec la réplication DNS, cela fonctionne très bien mais c'est plus manuel en cas de crash.
Si un des 2 outils le fait, je serais pas contre très intéressé pour basculer dessus.
Et sinon les effets de mode dans le monde de l'info c'est tout le temps, et ce qui était le soft du siècle peut très rapidement devenir un truc immonde dont plus personne ne veut
Messages : 444
Sujets : 23
Inscription : Feb 2020
Hello tout le monde !
Dites, je comprends pas pourquoi vous voulez avoir un DNS en interne ? Sauf si on s'amuse à changer de serveur régulièrement en remplacant les fonctionnalités, je ne vois pas l'interet de resoudre par nom (au contraire même).
Un nom se substitue, une IP non (du moins pas sans soucis technique)
Messages : 312
Sujets : 6
Inscription : Aug 2020
Filou, tu peux tester ton infra très facilement avec nmap c'est simple et libre en plus !
Cet outil te permet de faire des scans en interne et en externe, beaucoup de logiciels ou solutions de sécu se base dessus.
Pour les mises à jours je n'aime pas du tout le faire en automatique.
Même les éditeurs qui ont des process de tests très méticuleux ne sont pas à l'abri d'introduire des catastrophes dans leur code avec à la clé des soucis de performances ou de sécu plus ou moins gênants.
De mon côté je patch donc très régulièrement mais je prends le temps de voir le changelog et ce qu'en dise les gens sur les forums.
Cela prends un peu plus de temps mais j'ai déjà en des soucis au boulot (avec inter de WE à la clé pour réparer le bazar) ou à la maison.
Pour la sécurité en général, c'est à chacun de voir où il veut placer le curseur entre sécurité et facilité d'utilisation / administration.
Il ne faut pas oublier que c'est un vrai job qui prends du temps, donc si on sécurise son réseau local comme celui d'une grosse boite on peut vite y passer du temps
Messages : 444
Sujets : 23
Inscription : Feb 2020
@ Weee,
le soucis c'est que là tu lui demandes de faire de l'informatique pure, c'est pas évident tout ça. Et l'administration réseau c'est un monde à part..
Par contre il existe des distributions spécialisées dans les audit de sécurité.
@filou59,
Regarde la distribtion Kali, elle est mise à jour tout le temps pour lister toutes les failles et permet de faire une multitude de tests sur ton infra, comme les intrusions, le cryptolockage, etc.
Ca sera plus simple je pense, tu obtiens des rapports avec les corrections à apporter ainsi que leurs gravités
Messages : 312
Sujets : 6
Inscription : Aug 2020
Alors l'UNC c'est vraiment la plaie niveau sécurité et c'est un vecteur adoré par les ransomware.
Il y a plusieurs bonnes pratiques qui me viennent en tête mais je vais surement en oublier :
- Ne partager que le nécessaire
- Utiliser un utilisateur non admin du domaine / de la machine pour ce partage (avec les bons droits NTFS et de partage)
- Si le compte n'est pas un admin tu peux le mettre sur plusieurs machines oui
- Bien sur avoir un antivirus de qualité et à jour qui fait des scans à l'écriture / exécution de ces fichiers + des scans réguliers
Avec ça tu n'es pas à l'abri (nouveau virus inconnu, ou un compte admin qui exécute un fichier corrompu depuis la machine par exemple) mais tu réduit la surface d'attaque.
Enfin voilà c'est ce que je conseillerais à un particulier pour renforcer la sécurité sans non plus faire une usine à gaz.
Messages : 312
Sujets : 6
Inscription : Aug 2020
16/02/2021, 18:47:41
(Modification du message : 16/02/2021, 18:48:21 par Weee.)
(16/02/2021, 18:40:06)XeNo a écrit : @ Weee,
le soucis c'est que là tu lui demandes de faire de l'informatique pure, c'est pas évident tout ça. Et l'administration réseau c'est un monde à part..
Par contre il existe des distributions spécialisées dans les audit de sécurité.
On peut faire du réseau avec différents niveaux de connaissances, on peut très bien en faire à petit niveau sans problème.
Je vois sur ce forum et sur d'autres des particuliers qui mettent en place des VLAN par exemple ou des équipements pro et qui s'en sortent très bien.
Alors oui il ne feront pas de LACP entre deux liens (quoi que j'ai déjà vu des particuliers le faire sur le forum lafibre) ou du routage BGP entre différents AS on est bien d'accord
Mais filou59 fait plein de choses et surtout il s'intéresse à ce qu'il fait, je trouve donc normal d'être dans l'échange en répondant à ses questions.
Une petite Kali comme tu le suggère ou un petit nmap permettent rapidement d'avoir une idée de ce qu'on peut faire pour sécuriser un peu plus son réseau.
Messages : 444
Sujets : 23
Inscription : Feb 2020
(16/02/2021, 18:47:41)Weee a écrit : Mais filou59 fait plein de choses et surtout il s'intéresse à ce qu'il fait, je trouve donc normal d'être dans l'échange en répondant à ses questions.
Une petite Kali comme tu le suggère ou un petit nmap permettent rapidement d'avoir une idée de ce qu'on peut faire pour sécuriser un peu plus son réseau.
Ah oui oui je sais, j'ai pas dit le contraire, mais je pense qu'en tant que particulier, autant s'appuyer sur des distrib dédiée que de devoir utiliser les outils que des informaticiens utilisent tous les jours, pour un usage ponctuel. L'investissement de temps sera peu rentable à mon sens.
Sinon pour les bonnes pratiques, securiser le reseau c'est bien, les machines c'est mieux. Parce que dans tous les cas, des accès seront ouvert, et des failles potentielles également de fait.
Si vous voulez securiser au plus haut niveau et de manière assez simple :
domaine interne
PKI interne (dans les règles de l'art bien sur)
firewall partout (+fw box off en in sauf exceptions voulues)
Enjoy !
Messages : 3,719
Sujets : 61
Inscription : Nov 2013
Réputation :
0
Doucement j'arrive pas a suivre et a repondre ^^
KNX Partner Base / Avancé
Ma boite de MP est pleine, merci de créer un post si vous avez une question, cela profitera a tout le monde.
Messages : 3,719
Sujets : 61
Inscription : Nov 2013
Réputation :
0
(16/02/2021, 18:27:03)Weee a écrit : Tu parlais à un moment d'avoir 2 serveurs DNS et une IP flottante qui irait sur le primaire.
C'est clairement une mauvaise idée pour un service aussi central que cela, les bonnes pratiques c'est d'en utiliser 1 en principal et l'autre en secondaire.
Et donc de configurer tes machines en ce sens, le principal en 1er, le secondaire en second.
C'est d'ailleurs ce que font les FAI et les services DNS (Google, OpenDNS, Cloudflare, etc...), ce n'est pas pour rien
Après je ne connais que de nom AdGuard et PiHole car j'utilise actuellement autre chose.
Il faudrait voir s'ils ont des fonctionnalités cluster afin de pouvoir gérer les 2 serveurs de manière active / passive et qu'en cas de panne le secondaire puisse reprendre la main.
Sinon il faut le faire "à l'ancienne" avec la réplication DNS, cela fonctionne très bien mais c'est plus manuel en cas de crash.
Si un des 2 outils le fait, je serais pas contre très intéressé pour basculer dessus. Hello Weee
Oui mais non je suis pas d'accord.
Je sais que l'on utilise d'habitude les serveurs primaire et secondaire, mais le problème c'est que tu ne maitrise pas qui va être utilisé.
Car la requete DNS n'est pas envoyé sur le primaire et si le primaire ne répond envoyé sur le secondaire, c'est envoyé au pif sur l'un des 2 serveurs.
Problème si tu tombes sur le serveur en maintenance ca prend plus de temps.
Moi ce que je veux, c'est pouvoir arreter tranquillement mon service DNS, parceque j'intervient sur ma machine pour ajouter de la memoire, pour reinstaller proprement mon proxmox ...
Moi je vais donc utiliser un utilitaire qui va au passage me créer une IP virtuelle, cet utilitaire sera lancé sur les 2 serveur PiHole, et il va se charger de controler l'état des 2 serveur. L'un est Maitre et l'autre est Backup.
Si le maitre est down le backup prend le relais et c'est lui qui va monter l'ip virtuelle.
Du coup tu as un transparence total pour les clients.
En parrallele de ca on maintient synchronisé la conf des 2 Pi-hole ensemble via du rsync.
J'ai presque fini je vous dit quoi rapidement, maintenant que j'ai plus a gérer le DHCP sur le Pi-Hole ca simplifie la chose, il n'y a juste a surveiller la machine et le process de Pi-Hole.
KNX Partner Base / Avancé
Ma boite de MP est pleine, merci de créer un post si vous avez une question, cela profitera a tout le monde.
|