Bonjour la mailing ! Je vous lis depuis quelques années, mais c'est mon premier message, donc j'offre les croissants.
J'ai un petit projet perso de réseau sécurisé, lancé à l'origine suite à des vulnérabilités découvertes dans les box opérateur grand public, et puis bien sûr la NSA tout ça tout ça. Pas spécialement barbu mais je vais la détailler car àmha ça répond à quelques questions posées ici. Pour l'instant j'ai une archi assez simple : internet ---- box opérateur en bridge, brainless ---- routeur portant l'IP publique et faisant le NAT ---- IPS ---- routeur Wi-Fi --- devices Le routeur Wi-Fi fait le DHCP interne, et porte quelques services (VPN, NTP, serveur d'impression...). J'ai fait plusieurs tests pour l'IPS, et mon choix final est un Suricata sur distrib SELKS, qui a l'avantage d'être très actuelle et avec une interface pratique. L'IPS porte d'autres fonctionnalités de logging &cie, je ne rentre pas dans les détails. Pour l'instant je filtre un lien ADSL 18Mbps avec un petit ordi portable i5 sans brider aucunement la ligne. Je voulais à l'origine partir sur un support type Raspberry, mais je saturais vite ses ressources et donc (IPS oblige) je bridais ma connexion. Je pars maintenant sur un mini-pc type NUC d'Intel, dans l'objectif de pouvoir supporter et filtrer à la volée le Giga d'une fibre. Le matos est assez rare pour du double Ethernet en Giga avec le processeur & les drivers Linux qui vont bien, j'ai déniché la Zotac Z-Box ID92 qui fait l'affaire. J'effectue aussi de l'analyse de réputation des IP *a posteriori*, donc pas temps réel (les API des db d'IP ont pour la plupart des temps de réponse incompatibles avec du filtrage temps-réel, même si cache). D'après mes tests ces bases sont toutes très lacunaires et l'utilité ne se trouve que lorsqu'on en consulte plusieurs à la fois, donc je fais appel à IPVoid, un site type VirusTotal qui fait une méta-requête sur une trentaine de bases. Résultats intéressants, mais la plupart des IP blacklistées le sont uniquement sur 1 ou 2 sources, très rarement sur plus (d'où le "lacunaire"). pour les règles de l'IPS c'est un petit mélange des règles Snort Sourcefire VRT & EmergingThreat (les meilleures avec le petit recul que j'en ai). Je rajoute aussi mes règles pour durcir les accès internet de certains devices non-trustées (dans ton exemple la cafetière, les chiottes...). Enfin en utilisation classique le trafic avec la Russie est à regarder d'un peu plus près, c'est là où SELKS t'aide, tu mets tes lunettes et bouffes quelques paquets et tu rajoutes les règles qui vont bien (en plus de corriger le problème à sa source...). Je vois que le réseau invité a déjà été discuté, donc je détaille mon cloisonnement réseau. Je ne m'intéresse pas au risque de pourriture de la réputation de mon IP publique, car je pense qu'il faudrait pas mal d’âneries pour ça et je ne connecte pas à mon réseau n'importe qui non plus. Le réseau interne est cloisonné en 3 zones, le TIER 1 des périphériques trustés et qui ont accès à tous les services internes ainsi qu'au routage vers des sites distants par VPN ; le TIER 2 des périphériques pro / pas durcis ; le TIER 3 des invités. Chaque réseau est isolé des autres par les 2 routeurs ; chacun a son AP Wi-Fi sécurisé ; tous sont loggués et traités similairement par l'IPS. C'est assez clean et ça tourne bien, sans impact sur les perfs (bp & latence). Tout ou presque est FOSS (c'était un objectif). Si je veux utiliser une autre IP publique pour router tout mon traffic je monte un VPN depuis mon routeur faisant le NAT. Je ne comprends pas trop vos histoires de BGP et son utilité, là où Netfilter fait du bon boulot :) (faut dire que ce n'est pas mon métier, je suis dans la sécurité avant d'être dans le réseau !). La prochaine màj d'archi consistera à faire porter le rôle du routeur faisant le NAT par le premier, en ayant l'IPS sur une boucle. VRF, PBR, tout ça (d'un point de vue réseau c'est peu naturel, mais ça a de nombreux avantages). A disposition pour en discuter :) Cheers Fabien Schwebel Le 24 septembre 2014 07:05, Michel Py <mic...@arneill-py.sacramento.ca.us> a écrit : > Avant d'en venir au coeur du sujet, quelques commentaires en-ligne: > > > Vincent Bernat a écrit : > > Si tu ne fais pas d'auto hébergement, tu t'en fous un peu d'avoir ton IP > résidentielle blacklistée. > > Ben justement je m'auto-héberge, et je ne suis sûrement pas le seul geek > barbu à le faire. Il y a aussi le petit coté qui fait de moi un saint qui > dit qu'avoir un spambot ou autre merdiciel à la maison, envoyer de la merde > à l'Internet entier, et s'en foutre, c'est pas très propre. > > > > Laurent GUERBY a écrit : > > Un tunnel vers une autre IP publique jetable (VM/VPN a pas cher) pour le > reseau invité ? > > Oui oui, un peu usine à gaz mais pourquoi pas; deux commentaires ceci dit : > - Soit on le fait avec une des IP de [$job] on y perds un peu de son > indépendance, et quand on fait job++ faut nettoyer les restes à [$job-1]. > - Soit on achète l'animal en question, qu'est-ce que tu as qui serait > moins cher que de demander un /29 au FAI ? > > > Bon revenons-en à l'Adtrap (was: parefeu) du geek barbu. > Le matos avec 2 ou 3 Ethernet, pas trop poussif, petit consommateur > d'énergie, pas trop cher : check, merci à tous ceux qui ont contribué à la > machinbox du geek barbu. > > Moi je veux qu'il fonctionne en mode transparent, donc: > - Fonctionne en mode bridge, mais possède aussi sa propre IP. > - Interception des requêtes DNS. > - Ne pas forwarder / mentir si nécessaire. > - Dans le cas ou on ment, on retourne sa propre IP avec l'apache et les > scripts et redirects à la mode Cyril Lacoux. > - Dans le cas ou on ne ment pas, rien. Ce n'est donc pas un proxy. > [Cyril, t'en penses quoi, ton truc en mode bridge?] > > Ca doit faire le café, aussi. > > Tant qu'on y est, on mets aussi dedans l'ExaBGP de Thomas Mangin, qui > donne à bouffer au routeur les IPs louches qu'on route sur null0 et qu'on > dégage dès l'entrée avec RPF en mode strict (*). > > Comment on détecte les IPs louches: > > - Avec ???? > - Avec des listes (snort) > - Avec certains logs (j'ai quelques attrape-cons..) > - Avec un IDS > > > Gaëtan Duchaussois a écrit : > > Dans ce cas tu peux utiliser un ids en mode ips sur le réseau visiteur. > Suricata ou autre. > > Mais c'est peut être un peu gourmand en ressources. > > C'est quoi, gourmand ? > Autres ? > > > Sinon tu dl les listes de snort ou de emerging threats que tu injectes > dans ton pare feu. > > J'ai jamais fait de snort en mode bridge, commentaires ? snort est un des > domaines ou je manque cruellement d'expérience. > > > (*) Oui je sais BCP38 c'est beaucoup d'emmerdes, mais là on parle d'un > réseau stub, donc sur mon routeur j'ai "ip verify unicast source > reachable-via rx" comme çà les bogons et autres saloperies ne traversent > même pas l'interface externe. > > > Michel. > > ___________ _______________ > +---------------------------------/ Ze claoud \--+ +--/ Ze rézo local > \--------------------------------------------+ > ! ! ! > ! > ! +-----+ +---+ +---+ ! ! > +---+ +---------------+ ! > ! ! FAI ! ! x ! ! y ! ! ! Cafetière > -----+ +- Serveur +---+ Switch Garage + ! > ! +--+--+ +-+-+ +-+-+ ! ! > ! S ! ! +---------------+ ! > ! ! ! ! _______ > ! W +- PCs +---+ ! > ! +--------+ +----+--------+------/ Cisco \----+ > ! I ! ! +------ DVR ! > ! ! ! Tu100 Tu200 ! > ! T +--------+ ! ! > ! ! ! NAT + Log ! > +---------+ ! C ! +---+--+ ! > ! +--------------+ +---+ ATM0/0/0/0.35 Reflx ACL F0/0 +---+ Adtrap > +--+ H +-------------+ Wifi +--- NeoTV ! > ! ! Team Cymru ! ! ! > +---------+ ! ! +-+-+--+ Netflix ! > ! ! FullBogon #1 +---+ ! eBGP eBGP eBGP iBGP ! > ! +- Ooma ! ! ! > ! +--------------+ ! +----+------+------+-----------+--+ > ! ! ! +------ PC films ! > ! ! ! ! ! ! ! ! > +--------+ ! +- Pi ! ! > ! +--------------+ +--------+ ! ! ! ! +------+ ExaBGP > +---+ ! ! ! > ! ! Team Cymru ! ! ! ! ! > !--------+ ! ! ! ! > ! ! FullBogon #2 +-------------------+ ! ! ! > +-+-+ ((( o ))) (((geek))) ! > ! +--------------+ ! ! ! > ! ! > ! ! ! ! > +---------------------+-----------------------------+ ! > ! +--------------+ ! ! ! ! Chiottes > énablés TCP/IP pour tirer la chasse avec ! ! > ! ! Bad IPs +--------------------------+ ! ! ! une app > Android, et générer un évenement syslog ! ! > ! ! BGP feed ! ! ! ! à chaque fois, > çà frime à mort avec les geeks. ! ! > ! +--------------+ ! ! > +---------------------------------------------------+ ! > ! ! ! > ! > +------------------------------------------------+ > +---------------------------------------------------------------+ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
