>>> Raphael Maunier a écrit :
>>> Exemple sur mon forti :
>>> - https://ibb.co/ksLaXQ
>> Michel Py a écrit :
>> C'est bloqué avant le firewall, chez moi ;-)
> Paul Rolland a écrit :
> Tu as un firewall qui protege ton firewall ???
En fait, oui.
[Dans ce cas précis, c'est Malwarebytes sur le PC qui a bloqué le lien de
Raphael donc une autre couche de sécurité, mais..]
Ceci étant dit, dans mon modèle à la maison, le firewall n'est pas le premier
dans la ligne de défense. Le firewall (Untangle récemment) est en mode bridge
avec une IP privée et est protégé par le NAT du Cisco et plein de filtres BGP
qui tuent les IP blacklistées directement à l'entrée. Donc les trucs genre
bogons, C&C botnet et autres nuisances connues n'arrivent pas jusqu'au
firewall. Le firewall, ils est au milieu de la chaine; dehors il y a BGP et
dedans il y a host-based protection (Malwarebytes) et cloud (OpenDNS).
Faut que je m'en occupe, d'ailleurs. Depuis que j'ai changé pour untangle mon
ExaBGP est dans les choux. Si j'ai fait çà, c'est pas vraiment pour protéger le
firewall mais pour réduire le volume des logs. J'ai pas besoin (envie) de
savoir que quelqu'un a hijacké un bogon ou que quelqu'un d'autre a un C&C de
botnet ou qu'un abruti a un serveur pas patché depuis 3 ans sur la même IP; je
sais que çà existe, c'est pas une raison pour perdre mon temps avec. La
première défense du réseau, c'est le réseau.
+---------------------------------/ Ze claoud \--+ +--/ Ze rézo local
\-----------------------------------------------+
| | |
|
| +-----+ +-------+ +---+ +---+ | |
+---+ +---------------+ |
| | FAI +---+ Modem | | x | | y | | | Cafetière
-----+ +- Serveur +---+ Switch Garage + |
| +-----+ +---+---+ +-+-+ +-+-+ | |
| S | | +---------------+ |
| | | | _______
| W +- PCs +---+ |
| +----+ +----o--------o------/ Cisco \----+ ________
| I | | +------ DVR |
| | | Tu100 Tu200 | +-/Untangle\-+
| T +--------+ | |
| | | NAT + Log | | |
| C | +---+--+ |
| +--------------+ +---+ G0/1 Reflexive ACL G0/0 +---+-Wan
Lan-+--+ H +-------------+ Wifi +--- Smart TV |
| | Team Cymru | | | | +--br0-+ |
| | +-+-+--+ |
| | FullBogon #1 +---+ | eBGP eBGP eBGP iBGP | | | |
| +- Ooma | | |
| +--------------+ | +----o------o------o----------o---+ | ExaBGP |
| | | +------ PC films |
| | | | | | | | | | |
| +- Pi | Netflix |
| +--------------+ +--------+ | | | | | +----- | ----+
| | | |
| | Team Cymru | | | | | +--------------+
| | | |
| | FullBogon #2 +-------------------+ | | |
+-+-+ ((( o ))) (((geek))) |
| +--------------+ | | |
| |
| | | |
+---------------------+-----------------------------+ |
| +--------------+ | | | | Chiottes énablés
TCP/IP pour tirer la chasse avec | |
| | Bad IPs +--------------------------+ | | | une app Android,
et générer un évenement syslog | |
| | BGP feed | | | | à chaque fois, çà
frime à mort avec les geeks. | |
| +--------------+ | |
+---------------------------------------------------+ |
| | |
|
+------------------------------------------------+
+------------------------------------------------------------------+
Michel.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
