La Fibre
Datacenter et équipements réseaux => Équipements réseaux => 
Matériel informatique (réseaux domestiques) => Discussion démarrée par: basilix le 22 mai 2024 à 16:15:49
-
Bonjour LaFibre !
Cela fait plusieurs mois que je recherche une solution pour sécuriser mon réseau local afin d'héberger mes services. La solution pour laquelle j'ai opté initialement est de remplacer le boîtier fibre de mon FAI.
Et c'est difficile ! Car il faut tout prévoir et se mettre à niveau dans la mesure du possible (j'avance avec peine). En tout cas, c'est ma conception des choses. En outre, les informations que je peux trouver sur
la toile (le Web) ne sont pas forcément claires. Ce qui m'amène aux questions suivantes.
Quels sont les types de pare-feux matériels ?
- Des routeurs spécifiques
- Des commutateurs spéciaux
- Autre
Peut-on installer plusieurs pare-feux dans un réseau domestique à un prix abordable ?
- Les pare-feux matériels d'entreprise ont un prix élevé (voire exorbitant).
- Multiplier les équipements réseaux tirent aussi sur le prix d'achat.
Ces questions peuvent paraître naïves mais ce sont des questions dont je ne connais malheureusement pas la réponse.
Cdlt, basilix
-
Un pare feu c'est un routeur avec des règles de firewall améliorées.
-
Merci @Hugues !
Ah... ok. C'est plus simple que ce que je croyais.
-
Il me semble qu'il faut donc un pare-feu dédié (professionnel) ou bien des routeurs particuliers (plusieurs routeurs SOHO) pour former un dispositif pare-feu à base matérielle.
(https://openwrt.org/_media/media/docs/howto/security_topology_0001.png?cache=)
Source : OpenWrt.org
-
Si tu veux t'embêter et dépenser de l'argent, oui. Sinon, tout routeur linux (et machine linux), dispose d'un pare-feu logiciel, iptables, Netfilter, Firewalld, à configurer soit même. Et c'est nettement suffisant pour un particulier.
https://www.linuxtricks.fr/wiki/firewalld-le-pare-feu-facile-sous-linux
-
@alain_p :
Je ne comprends pas pourquoi tout le monde dit cela. Mon réseau local, ce n'est pas un système d'information, mais il y a plusieurs types d'appareils.
L'ANSSI recommande deux pare-feux pour former une passerelle Internet sécurisée. (https://cyber.gouv.fr/publications/recommandations-pour-choisir-des-pare-feux-maitrises-dans-les-zones-exposees-internet)
-
Il y en a déjà un qui tourne sous l'OS normalement !
1 box + 1 OS = 2 :P
-
La question à se poser pour le firewall domestique (ce n'est pas la cible de l'ANSSI) est "contre quoi je veux et peux me protéger". En gros :
- DDOS ? tout seul au bout du tuyau le firewall ne pourra pas grand chose.
- Exposition de services/ports ? Oui. Mais il est tout aussi voire plus important de passer du temps à bien configurer les services en question.
- La mécanique NAT pour ceux qui aiment le vieil internet.
- La sauce interne pour cloisonner wifi invité / IoT / serveur... C'est en fait le plus galère si on a peur de l'ennemi intérieur ...
Tu trouveras toujours des infographies/configurations exotiques sur le net d'une complexité plus ou moins nécessaire mais la réalité c'est qu'un fichier de quelques lignes suffit la plupart du temps.
-
- DDOS ? tout seul au bout du tuyau le firewall ne pourra pas grand chose.
mais un particulier ne se retrouve jamais cible d'un DDOS, ca n'a aucun sens
- La mécanique NAT pour ceux qui aiment le vieil internet.
ceux qui hébergent à domicile, apprécient ton commentaire ;)
-
mais un particulier ne se retrouve jamais cible d'un DDOS, ca n'a aucun sens
Cela arrive. Notamment pour ceux qui s'essaient aux serveurs de jeux par exemple.
-
Mais en tout cas, arrêter une attaque DDOS avec un pare-feu, cela demande un gros boulot de consultation des logs, pour identifier et bloquer les multiples adresses IP qui interviennent. Demande à Vivien.
-
mais un particulier ne se retrouve jamais cible d'un DDOS, ca n'a aucun sens
Détrompe toi. J'ai déjà été victime à l'époque (pas toute jeune) où j'hébergeais des bots pour des canaux IRC.
-
L'ANSSI recommande deux pare-feux pour former une passerelle Internet sécurisée. (https://cyber.gouv.fr/publications/recommandations-pour-choisir-des-pare-feux-maitrises-dans-les-zones-exposees-internet)
Ouais enfin a recommendation concerne en premier lieu les "organisations" au sens large. Pas le particulier, même s'il s'auto-héberge...
De toute façon la compromission d'un réseau directement en attaquant le routeur d'accès est peu probable, il est bien plus simple d'utiliser une faille d'un service hébergé pour attaquer le réseau de l'intérieur. Et dans le cas d'un particulier il est à mon avis bien plus simple d'isoler les machines exposées dans un VLAN dédié (DMZ) avec des règles très stricte de communication vers les autres VLAN et le routeur lui-même (pas question d'autoriser SSH vers le routeur depuis le VLAN DMZ, ça me semble un bon début). Et pas besoin de multiples routeurs pour ça.
-
Je confirme qu'on a quelques abonnés qui prennent des "douches" de temps en temps, mais c'est très rare :)
-
Merci @Hugues !
Ah... ok. C'est plus simple que ce que je croyais.
Ce n'est pas vraiment comparable a un routeur meme si un firewall peut router et certains routeurs faire du NAT et des access-list.
En fait trop de gens confondent NAT et firewall car le NAT nécessite de faire du "tracking de connections" ce qui est la base de fonctionnement d'un firewall.
Apres pour un usage grand public ca peut suffire.
-
Merci pour toutes vos réponses !
Je vais partir sur une configuration en plusieurs zones définies par le pare-feu du routeur d'accès.
Je crains aussi les attaques opérées depuis l'intérieur du réseau via des machines compromises.
J'aurais bien aimé surveiller le réseau mais c'est peut-être trop ambitieux à mon niveau et ce n'est
pas d'une importance vitale si je parviens à bien configurer mes services et à durcir le serveur.
Quand j'aurais le temps, je ferais quelques challenges en cybersécurité pour avoir un aperçu. Enfin,
l'objectif c'est d'aller à l'essentiel en espérant que je n'attire pas trop l'intérêt des bad guys.
-
Salut à tous.
Quelle sera l'utilité de ton pare-feu ? De quoi veux tu te protéger ?
J'ai WampServer d'installé sous Windows 10 Pro et j'utilise le pare-feu Microsoft pour me protéger des indésirable. Comment je fais ? Je me suis fais un mouchard qui me permet de recenser les connexions à mes sites WEB. Si je constate qu'une connexion est trop souvent présente, je consulte les log et si l'adresse IP est problématique, je l'interdit depuis le pare-feu. J'ai déjà subit des tentatives d'attaques, ce qui m'a permis depuis de leur interdire l'accès. Par défaut, le pare-feu Microsoft est mal configuré. Tout le flux sortant est autorisé, ce qui peut poser des problèmes en cas de piratage. J'ai fait le recensement des applications que j'utilise et j'ai créé une règle sortante pour les autoriser, ce qui me fait un peu plus d'une centaine de règles. Pour les règles entrantes, j'ai créé une règle pour apache, Mysql, Firebird, Microsoft SQL Server, MicroSIP & Zoiper5 et le reste est bloqué. Autrement dit, le serveur WEB et les softphones. En dehors des règles d'applications, j'ai des règles pour le fonctionnement du réseau, comme DNS, ICMPv4, ICMPv6, IGMP.
Tu peux remplacer ta Box par un véritable routeur ayant un pare-feu d'intégrer comme PFSense ou OPNSense. Le problème est que tu ne peux pas protéger l'application car celle-ci se ne trouve pas dans le routeur mais dans un ordinateur, quelque part dans ton réseau local. Ce que tu vas autoriser ou interdire ne sont que des adresses IP, des ports et des types de protocoles. Tu devras aussi configurer les pare-feu de tes ordinateurs. Depuis ton réseau local, presque à 100%, ce sont les flux sortants (les questions) que tu vas autoriser et en retour les flux entrants (les réponses) sont implicites. D'où comme chez moi, la quantité importante des règles sortantes vis-à-vis des règles entrantes. Le peu de règles entrantes sont dues à des flux qui ne sont pas de mon initiatives et doivent être autorisés, comme ceux des softphones et du serveur WEB. Tu peux isoler ton serveur WEB en créant une DMZ depuis ton routeur et de configurer un pare-feu spécifiquement dédié à ce serveur WEB.
Tu as le choix de passer à PFSense ou OPNSense qui est selon moi, plutôt compliquer à bien configurer, ou bien de prendre un MiniPC sous Linux et de le transformer en routeur. Il y a suffisamment d'applications pare-feu pour bien se protéger, en se donnant la peine de bien les configurer.
L'important est de ne pas être visible sur le net, et de ne pas cliquer sur toutes les pièces jointes des e-mail dont l'émetteur est inconnue. Un anti-virus comme Kaspersky ne sert à rien. Je l'ai utilisé et cela me causait plus de problèmes que d'avantage. Depuis, j'utilise des outils pour vérifier si mes ordinateurs sont contaminés et à vrai dire, rien à signaler depuis plusieurs années.
-
Ce n'est pas vraiment comparable a un routeur meme si un firewall peut router et certains routeurs faire du NAT et des access-list.
La base d'un firewall est de router les paquets d'un port a un autre, donc un firewall est un routeur :)
-
La base d'un firewall est de router les paquets d'un port a un autre, donc un firewall est un routeur :)
sémantique tout ca... pour moi la base d'un firewall est d'appliquer des règles de sécurité en entrée ou/et sortie de ses interfaces.
D'ailleurs tu as des firewall avec une seule "interface"... celui dans Windows par exemple. en quoi c'est un routeur ?
-
La base d'un firewall est de router les paquets d'un port a un autre, ...
Ce que tu décris ici est le rôle du NAT. Celui du pare-feu est plutôt de filtrer, c'est-à-dire laisser passer ou pas le flux.
Et le rôle du routage est bien attribué au routeur, d'où son nom.
-
Ce que tu décris ici est le rôle du NAT.
Non. Le NAT c'est du NAT, et rien d'autre.
C'est à dire la modification des entêtes source/destination des paquets pour modifier les IP/ports, associée selon les cas à une table de correspondance (table NAT) et à l'utilisation de la table de suivi (table conntrack, qui ne sert pas qu'au NAT).
Les règles NAT sont dans la configuration du firewall mais ce n'est en soi ni du filtrage ni du routage, même si cela peut avoir une incidence sur les décisions de filtrage/routage.
Edit : au temps pour moi @artemus il y a confusion entre port du routeur et port d'un paquet avec Hughes. Je laisse le message quand même.
-
Ce que tu décris ici est le rôle du NAT.
Non. Le NAT est un bricolage permettant de combler articifiellement le manque d'adresses IPv4.
La majorité des routeurs dans le monde ne font absolument jamais de NAT.
-
La majorité des routeurs dans le monde ne font absolument jamais de NAT.
Même en comptant les box grand public? ;)
-
Même en comptant les box grand public? ;)
:-[
Non 8)
-
Il faudra m'expliquer ce que vous entendez par NON, parce qu'il est bien question pour le NAT, de modifier les ports et les adresses IP de destinations. D'ailleurs NAT signifie "Network Address Translation", qui correspond à la mise en relation des adresses IP/ports avec celles du réseau local.
Pour moi, le NAT n'a aucun rapport avec un pare-feu et celui-ci fait du filtrage.
S'il n'y a pas de NAT dans un vrai routeur, comment se fait la conversion de l'adresse IP publique / ports vers les adresses IP locaux / ports ?
-
La majorité des routeurs, hors box/cpe ne font pas de nat.
-
Merci Hugues, je l'avais bien compris mais cela ne répond pas à ma question.
-
du routages sur des ip publiques
-
Merci Hugues, je l'avais bien compris mais cela ne répond pas à ma question.
Il n'y a rien à convertir (adresses ou ports) dans la majorité des cas hors box/cpe. Un routeur, ça prend un paquet, ça regarde son adresse destination, ça consulte sa table de routage et ça transmet le paquet sur l'interface correspondante sans modifier le paquet (hormis le TTL)
-
Il n'y a rien à convertir (adresses ou ports) dans la majorité des cas hors box/cpe. Un routeur, ça prend un paquet, ça regarde son adresse destination, ça consulte sa table de routage et ça transmet le paquet sur l'interface correspondante sans modifier le paquet (hormis le TTL)
Oui la NAT (en tout cas sous Linux) est intégrée à la partie firewalling, et non à la partie routage (qui elle fait partie du module IP de base du kernel)
Dans les "box", on a souvent un routeur et un firewall ensemble, on a tendance à confondre les 2 qui travaillent de mèche.
-
Les gens confondent aussi lorsque cela est mal présenté et faute de connaissances. La différence entre un expert ayant un sens certain de la pédagogie et une personne auteur d'un tutoriel
est flagrante. La personne qui écrit le tutoriel peut présenter des choses à tout le monde mais de façon régulièrement assez tordue. Les mots ou le contexte choisi ne seront pas adaptés.
-
Il n'y a rien à convertir (adresses ou ports) dans la majorité des cas hors box/cpe. Un routeur, ça prend un paquet, ça regarde son adresse destination, ça consulte sa table de routage et ça transmet le paquet sur l'interface correspondante sans modifier le paquet (hormis le TTL)
Il faudra que tu m'expliques comment un flux entrant venant de je ne sais où, ayant une adresse IPv4 WAN de destination, donc mon adresse IPv4 publique, va trouver tout seul l'interface qui se trouve dans mon réseau local. Je précise que je suis dans le cas d'un serveur WEB comme WampServer (Apache, Php, Mysql, PhpMyAdmin). Si je n'indique pas où se trouve mon serveur WEB dans mon réseau local, je ne vois pas comment le routeur le saura. Dans ce cas, il faut que j'ouvre les ports 80 & 443, et que j'indique sa destination finale par une adresse IPv4 LAN (locale). Et justement, c'est le rôle du NAT de faire cela qui se trouve, en principe, dans le routeur.
-
Il faudra que tu m'expliques comment un flux entrant venant de je ne sais où, ayant une adresse IPv4 WAN de destination
On a dit hors box/cpe...
Evidemment, dés qu'on utilise un bloc d'adresses privées il faut du NAT. Mais un routeur qui a des adresses publiques sur toutes ses interfaces [1] (donc la grande majorité des routeurs de l'internet hors box chez les clients) ne fait pas de NAT. D'ailleurs, en IPv6 où c'est le cas même chez les clients finaux (hors ISP "terroriste" qui n'a rien compris à IPv6 et qui livre une seule adresse), on ne fait jamais de NAT.
[1] et en fait ça marche aussi avec des adresses IP privées (cad qu'on peut très bien router un paquet avec une adresse IPv4 publique sur un segment de réseau entièrement en IP privées), c'est moche et ça casse notamment les traceroute mais certains FAI le font pour économiser des IPv4 publiques.
-
[1] et en fait ça marche aussi avec des adresses IP privées (cad qu'on peut très bien router un paquet avec une adresse IPv4 publique sur un segment de réseau entièrement en IP privées), c'est moche et ça casse notamment les traceroute mais certains FAI le font pour économiser des IPv4 publiques.
Covage le fait mais je ne comprends pas comment cela casse les traceroutes?
-
C'est cocasse de lire dans ce fil les sens différents donnés aux mots routeur, port et firewall :
Pour les spécialistes des infrastructures : un routeur est un équipement physique contribuant à l'infrastructure d'Internet (ou d'un réseau privé complexe), munis de ports "physiques" (interfaces). Un firewall est un équipement physique qui filtre des paquets, des connexions, inspecte du contenu. Il protège des zones du réseau mais ne participe pas au routage des paquets sur Internet.
Pour les autres ici, un routeur est n'importe quoi (box opérateur, PC équipé de plusieurs interfaces), qui peut parfois faire du NAT pour rediriger des ports UDP ou TCP. Ce routeur a aussi en général des fonctionnalités de firewall.
Les performances et les budgets ne sont pas vraiment du même ordre de grandeur !
-
Je fais bien la distinction entre une BOX et un routeur mais il me semble qu'il y a pour certains une confusion.
Une BOX = un Routeur + un Commutateur + le WiFi + le Téléphone + des serveurs DHCP + des serveurs DNS + un serveur de fichier + un serveur multimédia + NAT + ...
Je le répète encore une fois, un routeur fait du routage et un pare-feu fait du filtrage et c'est tout.
On a dit hors box/cpe...
Et c'est là que je découvre la signification de ce CPE ==> Customer Premises Equipment (https://fr.wikipedia.org/wiki/Customer_Premises_Equipment).
Je n'ai pas bien compris ce que tu entendais par CPE mais s'il s'agit hors des équipements reliés à la BOX/Routeur, dans ce cas là, tu dois exclure tous les ordinateurs. Et je ne vois pas trop l'utilité d'avoir une BOX/Routeur si tu n'as aucune équipement derrière.
Évidemment, dés qu'on utilise un bloc d'adresses privées il faut du NAT.
Nous sommes bien d'accord que le NAT en IPv4 a son utilité, même si je considère que ce n'est pas du routage (routeur) ni du filtrage (pare-feu), mais un entre deux.
En effet, le NAT en IPv6 ne sert pas à grand chose puisque l'adresse Ipv6 publique va directement au périphérique dans le réseau local, donc pas besoin de faire une translation d'adresse.
@ pju91 : je suis d'accord qu'il y a un problème de définition.
-
Et c'est là que je découvre la signification de ce CPE ==> Customer Premises Equipment (https://fr.wikipedia.org/wiki/Customer_Premises_Equipment).
Non, CPE c’est une généralisation de la box, qui est un truc bien français. Mon Mikrotik, qui remplace la livebox, n’est pas une box mais un CPE.
-
Covage le fait mais je ne comprends pas comment cela casse les traceroutes?
Effectivement après réflexion, je pense que même le traceroute continue de fonctionner, enfin pas chez moi car je filtre toutes les adresses privées qui arrivent sur mon port WAN (celles qui pourraient en sortir aussi d’ailleurs, mais c’est une autre histoire).
-
Merci.
En tout cas, depuis chez moi vers k-net via Covage, le traceroute est ok avec que des adresses privées.