Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Sécurité réseau
#22
(31/03/2020, 11:22:47)Ives a écrit :
(31/03/2020, 10:36:42)R4v3n a écrit : Il ne faut pas que tu mélanges un VPN pour "anonymiser" ton trafic (ne t'inquiètes pas que ton fournisseur payant de VPN il garde les logs de connexion et le jour où la justice lui demande il va courber l'échine en 2,5 secondes, d'où ma remarque sur le fait d'avoir ton propre VPN) et un VPN pour te connecter à ton LAN de façon sécurisée.
Le cas "J'utilise un VPN pour anonymiser mon surf" je ne l'aborde pas.
Les échanges sur ce sujet m'ont déjà permis de comprendre la différence "anonymiser le trafic et connecter de façon sécurisé (c'est un bon début !) Smile
Concernant les logs de connexion, la politique "no-log stricte" annoncée par NordVPN c'est bidon ?

(31/03/2020, 10:36:42)R4v3n a écrit : Ici je te parle de pouvoir te connecter à ton LAN (ou du moins à certaines adresses de ton LAN) depuis ton téléphone ou un laptop par exemple.
Le serveur OpenVPN sur le syno va accueillir ta connexion cliente (donc depuis ton tél) et te permettre d'accèder à ton LAN. De base uniquement le flux dédié au LAN passera par le VPN, mais tu peux aussi forcer TOUT ton traffic internet (toujours le traffic de ton tél) via ton VPN quand tu y es connecté, c'est un simple paramètre.
Sur le syno (connecté sur un switch lui même connecté au routeur) sera installé le serveur VPN et je suppose qu'il faudra installer un client VPN sur chaque smartphone ?

(31/03/2020, 10:36:42)R4v3n a écrit : Ton LAN sera toujours ton LAN. Mais en mettant en place des LANs dédiés (physiques ou VLANs) à des fonctionnalités, tu peux gérer finement le firewalling entre chaque LANs. Voici des exemples rapides :
- Mettre ton/tes wifi(s) sur des VLANs séparés, parce que le wifi est la pire chose en matière de sécurité, et il est nécessaire de gérer ses flux correctement
- Mettre ton portier IP sur un VLAN à part (je considère qu'il est PoE), de façon à ce que si on te le force et qu'on utilise le RJ qui se trouve derrière, l'attaquant ne puisse accéder à rien, seul le sens Lifedomus > Portier IP doit être autorisé.
- Mettre tes caméras sur un VLAN à part pour que ce soit complètement inaccessible en dehors de quelques IPs autorisées
C'est exactement ce que je voudrais faire !
Pour le wifi, j'ai recemment changé de système. 
Auparavant j'utilisais le wifi de la Freebox avec un CISCO en point d'accès (pour couvrir toute la maison). Cette solution permettait de filtrer l’accès au wifi avec les adresses MAC. Le débit au niveau du CISCO n'était pas stop et j'ai changé pour mettre en place un réseau Mesch avec les ORBI Netgear ;  l'inconvénient c'est de ne plus pouvoir faire de filtrage MAC donc un réseau wifi exposé à sécuriser.

(31/03/2020, 10:36:42)R4v3n a écrit : Il faut comprendre qu'un vrai routeur, qui sait gérer des VLANs, te permettra de gérer tes règles de firewalling entre chaque VLAN. Alors que dans un même LAN, tout le monde peut discuter librement (sauf si tu mets un firewall soft sur un PC par exemple).
L'idée c'est de te prendre une petite configuration dans un rack 1/2/3U, mettre ça dans ta baie avec ta freebox et autre matériels informatique et réseaux, et l'utiliser comme routeur.
2 WANs de façon à avoir toujours de la redondance pour ton VPN (et même ton réseau interne, dans l'autre sens), par exemple une connexion Fibre et une connexion 4G.
1 LAN, pour te brancher à ton switch, manageable si tu comptes avoir des VLANs, puis ensuite tu gères chaque port de ton switch en fonction de ton brassage (en taggant ou non chaque port).
Tout est déjà dans un rack (3 switchs, freebox, NAS, Syno, onduleur, ...)
Peut tu préciser "prendre une petite configuration dans un rack" ?
Mes switchs ne sont pas manageables.

(31/03/2020, 10:36:42)R4v3n a écrit : Le futur proprio n'aura pas ton infra, il se débrouillera avec sa propre box, ça ne change rien pour lui.
La maison étant entièrement domotisée, une très grande partie va rester en place (Sonos, Lifedomus,...) y compris le Syno qui procède aux enregistrements des cameras (sauf à ce que je passe ça sur le Cloud qui serait un plus lors d'un cambriolage !)

Avec Pfsense/OPNSense (et probablement avec Untangle aussi) tu peux définir ton routeur en tant que client VPN d'un service tiers (HMA dans ton cas), ajouter une interface pour cette connexion VPN et créer des règles de routage de façon à ce que certains services et/ou certaines machines utilisent le VPN pour sortir sur internet.
La politique no-log n'est pas bidon, mais disons qu'elle a le crédit que tu lui donnes. Tu ne sauras jamais comment ça se passe réellement. C'est comme penser que ta vie privée est respectée lorsque tu utilises home/alexa/siri/cortana.

Oui il faudra installer un client VPN sur chaque device que tu veux connecter au VPN. Rien ne t'obliges à mettre un user/pass sur ton certificat/clé pour faciliter les choses.

Le filtrage d'adresses MAC pour un wifi est obsolète depuis ... toujours. Ce que tu peux mettre en place c'est plutôt une authentification par portail captif/RADIUS, et EAP.



Soit tu trouves une config d'occaz en mini-itx (intel atom par exemple) en rack 1U/2U, soit tu pars sur "moins" cher (parce que plus gros) avec une carte micro-ATX ou ATX, dans un rack 3U, d'occaz toujours.
Si tu comptes gérer des VLANs, il te faudra un switch manageable. Ca se trouve à peanuts sur leboncoin/ebay aujourd'hui.

Donc tu considères que lors de la vente, le matériel ne sera pas obsolète, et que l'acheteur voudra forcément de ton Sonos et de ta Lifedomus ? C'est quelque peu restictrif.
Répondre


Messages dans ce sujet
Sécurité réseau - par Ives - 30/03/2020, 10:12:25
RE: Sécurité réseau - par Du21 - 30/03/2020, 11:42:10
RE: Sécurité réseau - par Ives - 30/03/2020, 11:56:13
RE: Sécurité réseau - par Du21 - 30/03/2020, 12:17:39
RE: Sécurité réseau - par Ives - 30/03/2020, 12:49:16
RE: Sécurité réseau - par Ives - 30/03/2020, 19:15:07
RE: Sécurité réseau - par Du21 - 30/03/2020, 21:07:58
RE: Sécurité réseau - par R4v3n - 30/03/2020, 22:13:31
RE: Sécurité réseau - par Du21 - 31/03/2020, 12:38:40
RE: Sécurité réseau - par R4v3n - 31/03/2020, 13:08:31
RE: Sécurité réseau - par Ives - 31/03/2020, 00:25:47
RE: Sécurité réseau - par R4v3n - 31/03/2020, 09:43:20
RE: Sécurité réseau - par Ives - 31/03/2020, 10:08:16
RE: Sécurité réseau - par R4v3n - 31/03/2020, 10:36:42
RE: Sécurité réseau - par Ives - 31/03/2020, 11:22:47
RE: Sécurité réseau - par R4v3n - 31/03/2020, 13:06:02
RE: Sécurité réseau - par urufara - 31/03/2020, 08:54:50
RE: Sécurité réseau - par Ives - 31/03/2020, 09:20:19
RE: Sécurité réseau - par urufara - 31/03/2020, 10:25:17
RE: Sécurité réseau - par R4v3n - 31/03/2020, 10:34:50
RE: Sécurité réseau - par urufara - 31/03/2020, 10:46:49
RE: Sécurité réseau - par Ives - 31/03/2020, 10:50:16
RE: Sécurité réseau - par urufara - 31/03/2020, 11:14:23
RE: Sécurité réseau - par Kevlille - 01/04/2020, 10:33:19
RE: Sécurité réseau - par Du21 - 01/04/2020, 10:45:30
RE: Sécurité réseau - par R4v3n - 01/04/2020, 15:32:42
RE: Sécurité réseau - par Du21 - 01/04/2020, 19:16:04
RE: Sécurité réseau - par Ives - 01/04/2020, 11:04:38
RE: Sécurité réseau - par Kevlille - 01/04/2020, 11:08:16
RE: Sécurité réseau - par Du21 - 01/04/2020, 11:32:22
RE: Sécurité réseau - par Ives - 01/04/2020, 17:44:51
RE: Sécurité réseau - par Du21 - 01/04/2020, 19:21:28
RE: Sécurité réseau - par Kevlille - 01/04/2020, 17:51:01
RE: Sécurité réseau - par Ives - 02/04/2020, 08:24:42
RE: Sécurité réseau - par Kevlille - 02/04/2020, 09:51:13
RE: Sécurité réseau - par kalhimeo - 01/04/2020, 18:59:59
RE: Sécurité réseau - par R4v3n - 01/04/2020, 22:23:15
RE: Sécurité réseau - par Ives - 02/04/2020, 07:51:00
RE: Sécurité réseau - par Du21 - 02/04/2020, 10:09:49
RE: Sécurité réseau - par Ives - 02/04/2020, 10:28:14
RE: Sécurité réseau - par Kevlille - 02/04/2020, 11:04:13
RE: Sécurité réseau - par Du21 - 02/04/2020, 10:40:31
RE: Sécurité réseau - par filou59 - 02/04/2020, 10:46:49
RE: Sécurité réseau - par kalhimeo - 02/04/2020, 12:53:45
RE: Sécurité réseau - par Ives - 02/04/2020, 15:02:14
RE: Sécurité réseau - par Du21 - 02/04/2020, 15:30:45
RE: Sécurité réseau - par R4v3n - 02/04/2020, 16:30:23
RE: Sécurité réseau - par Ives - 02/04/2020, 16:49:11
RE: Sécurité réseau - par R4v3n - 03/04/2020, 09:17:45
RE: Sécurité réseau - par Ives - 03/04/2020, 10:20:59
RE: Sécurité réseau - par Du21 - 02/04/2020, 16:57:53
RE: Sécurité réseau - par Ives - 02/04/2020, 17:04:32
RE: Sécurité réseau - par Du21 - 03/04/2020, 11:30:26
RE: Sécurité réseau - par Ives - 03/04/2020, 12:17:19
RE: Sécurité réseau - par kalhimeo - 03/04/2020, 11:33:05
RE: Sécurité réseau - par filou59 - 03/04/2020, 11:41:50
RE: Sécurité réseau - par Ives - 03/04/2020, 12:36:30
RE: Sécurité réseau - par R4v3n - 03/04/2020, 15:13:40
RE: Sécurité réseau - par Du21 - 03/04/2020, 12:22:02
RE: Sécurité réseau - par Ives - 03/04/2020, 15:31:33
RE: Sécurité réseau - par filou59 - 03/04/2020, 15:52:00
RE: Sécurité réseau - par Ives - 03/04/2020, 18:03:19
RE: Sécurité réseau - par kalhimeo - 03/04/2020, 18:15:26
RE: Sécurité réseau - par filou59 - 03/04/2020, 20:39:00
RE: Sécurité réseau - par Ives - 03/04/2020, 22:24:54
RE: Sécurité réseau - par filou59 - 03/04/2020, 20:53:41
RE: Sécurité réseau - par R4v3n - 03/04/2020, 21:07:22
RE: Sécurité réseau - par filou59 - 03/04/2020, 22:06:31
RE: Sécurité réseau - par R4v3n - 04/04/2020, 08:54:35
RE: Sécurité réseau - par Ives - 08/04/2020, 01:44:57
RE: Sécurité réseau - par filou59 - 08/04/2020, 02:56:24
RE: Sécurité réseau - par Ives - 08/04/2020, 09:35:13
RE: Sécurité réseau - par Kevlille - 08/04/2020, 08:57:23
RE: Sécurité réseau - par R4v3n - 08/04/2020, 11:03:49
RE: Sécurité réseau - par Kevlille - 08/04/2020, 11:27:06
RE: Sécurité réseau - par Ives - 08/04/2020, 11:30:16
RE: Sécurité réseau - par R4v3n - 08/04/2020, 12:02:19
RE: Sécurité réseau - par Kevlille - 08/04/2020, 16:00:13
RE: Sécurité réseau - par R4v3n - 08/04/2020, 16:07:54
RE: Sécurité réseau - par filou59 - 08/04/2020, 10:12:59
RE: Sécurité réseau - par Ives - 08/04/2020, 10:38:04
RE: Sécurité réseau - par Du21 - 08/04/2020, 10:31:20
RE: Sécurité réseau - par Ives - 08/04/2020, 10:44:09
RE: Sécurité réseau - par Kevlille - 08/04/2020, 10:35:48
RE: Sécurité réseau - par Kevlille - 08/04/2020, 10:43:33
RE: Sécurité réseau - par Ives - 08/04/2020, 11:09:34
RE: Sécurité réseau - par Du21 - 08/04/2020, 13:02:05
RE: Sécurité réseau - par Ives - 08/04/2020, 13:09:29
RE: Sécurité réseau - par Du21 - 08/04/2020, 15:34:12
RE: Sécurité réseau - par Dibou - 16/07/2020, 20:21:12
RE: Sécurité réseau - par Kevlille - 16/07/2020, 21:21:56
RE: Sécurité réseau - par Du21 - 16/07/2020, 22:25:36
RE: Sécurité réseau - par Kevlille - 17/07/2020, 09:15:21
RE: Sécurité réseau - par Dibou - 17/07/2020, 10:48:03
RE: Sécurité réseau - par Kevlille - 17/07/2020, 14:45:29
RE: Sécurité réseau - par Du21 - 17/07/2020, 16:27:38
RE: Sécurité réseau - par Dibou - 17/07/2020, 16:53:25
RE: Sécurité réseau - par Du21 - 17/07/2020, 17:43:06
RE: Sécurité réseau - par Dibou - 17/07/2020, 19:24:47
RE: Sécurité réseau - par Du21 - 17/07/2020, 22:10:16
RE: Sécurité réseau - par R4v3n - 20/07/2020, 09:51:37
RE: Sécurité réseau - par filou59 - 21/07/2020, 13:27:05
RE: Sécurité réseau - par Dibou - 21/07/2020, 15:27:55
RE: Sécurité réseau - par R4v3n - 21/07/2020, 16:06:01
RE: Sécurité réseau - par Dibou - 22/07/2020, 06:09:42
RE: Sécurité réseau - par pollux06 - 21/07/2020, 16:02:24
RE: Sécurité réseau - par filou59 - 21/07/2020, 16:19:53
RE: Sécurité réseau - par R4v3n - 21/07/2020, 16:46:12

Atteindre :


Utilisateur(s) parcourant ce sujet : 9 visiteur(s)