Apprendre à sécuriser un réseau domestique
benoit
Bonjour à toutes et tous,
Désolé pour cette demande un peu HS, mais je ne saurais pas l'énoncer à un moteur de recherche. Seul un humain peut me guider vers les apprentissages qui me seront utiles.
Je recherche un tuto (par écrit pas en vidéo) au terme duquel je serai capable de sécuriser un réseau avec un niveau de sécurité domestique.
Genre, mon réseau n’a aucun intérêt, mais j’ai pas envie que ce soit une passoire et que ma passerelle (avec son petit serveur web perso) soit utilisée pour mener une attaque sur un autre réseau. Mon réseau étant domestique, n’est pas vulnérable à des attaques de l’intérieur, il n’y a personne de malveillant à l’intérieur. Donc cet aspect de la sécurité des réseaux d’entreprise ne me concerne pas. Pas de contrôle parental a mettre en place non plus.
Et aussi, comment sécuriser mon ordinateur portable quand je suis à l'extérieur sur un wifi ou que j'utilise la 4G.
Je me suis acheté ce livre espérant en apprendre davantage, mais il est trop verbeux et je me suis découragé.
Je voudrais un tuto qui explique en quelques lignes (et pas 50 pages) avant de montrer les commandes à taper.
Tous est sous debian, ça ne m’intéresse pas de savoir
sécuriser un Windows ou un mac.
Si j’ai envie d’en savoir plus sur une attaque j’irai
chercher l’info dans ce livre.
Si je recherche moi même, n'y connaissant rien en sécurité, je risque de m'y perdre ou de passer à coté de notions importantes...
Si vous pouviez me guider vers les compétences nécessaire
Merci d’avance
–
Benoit
Sébastien NOBILI
Le 2022-08-18 09:03, benoit a écrit :
> Je recherche un tuto (par écrit pas en vidéo) au terme duquel je serai
> capable de sécuriser un réseau avec un niveau de sécurité domestique.
Tu pourrais commencer par (et ajouter des pierres à l'édifice peu à peu)
:
- configurer ta box pour qu'elle laisse passer (en entrée)
uniquement le trafic qui t'intéresse (donc port 443 puisque tu dis avoir
un serveur Web, à moins qu'il n'ait pas vocation à être accessible
depuis Internet, dans ce cas, aucun port ouvert en entrée)
- configurer ton Wi-Fi pour utiliser WPA2, avec une clé décente (un
code auto-généré à rallonge ou bien une phrase entière tirée de ton
poème préféré ou de ton imagination)
- (éventuellement) mettre en place un filtrage basé sur l'adresse
MAC sur ton Wi-Fi
- mettre en place une configuration nftables sur ton/tes
ordinateur(s)
En cherchant "nftables débutant" sur un moteur de recherche, je suis
tombé là-dessus, ça a l'air de couvrir le sujet de manière assez
accessible :
https://www.it-connect.fr/modules/utilisation-de-nftables-vos-premiers-pas/
Principe de base d'une bonne stratégie de filtrage réseau : tout est
interdit par défaut, tu autorises ce que tu as explicitement indiqué.
Pour un poste de travail : tout le trafic entrant est interdit (sauf
celui en lien avec une connexion déjà établie), tout le trafic sortant
est autorisé.
Sébastien
Sabri KHEMISSA
Basile Starynkevitch
Bonjour à toutes et tous,
Désolé pour cette demande un peu HS, mais je ne saurais pas l'énoncer à un moteur de recherche. Seul un humain peut me guider vers les apprentissages qui me seront utiles.
Je recherche un tuto (par écrit pas en vidéo) au terme duquel je serai capable de sécuriser un réseau avec un niveau de sécurité domestique.
Genre, mon réseau n’a aucun intérêt, mais j’ai pas envie que ce soit une passoire et que ma passerelle (avec son petit serveur web perso) soit utilisée pour mener une attaque sur un autre réseau. Mon réseau étant domestique, n’est pas vulnérable à des attaques de l’intérieur, il n’y a personne de malveillant à l’intérieur. Donc cet aspect de la sécurité des réseaux d’entreprise ne me concerne pas. Pas de contrôle parental a mettre en place non plus.
Et aussi, comment sécuriser mon ordinateur portable quand je suis à l'extérieur sur un wifi ou que j'utilise la 4G.
Je me suis acheté ce livre espérant en apprendre davantage, mais il est trop verbeux et je me suis découragé.
Je voudrais un tuto qui explique en quelques lignes (et pas 50 pages) avant de montrer les commandes à taper.
A mon avis ça ne peut pas
exister..... Le tutoriel devrait faire des
centaines de pages, pas quelques lignes ou paragraphes!!
Il faut des années de travail pour comprendre les enjeux de la cybersecurité:
- contre qui veut-on se protéger? L'adolescent boutonneux (isolé dans sa chambre) ou bien les forces de cyberattaques d'un pays hostile?
- quelles informations sont à garder "secretes" ou "privées"
- les obligations légales RGPD https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd
- Cas particulier des données nominatives liées à la santé
- Les données liées au secret des affaires, juridique,
militaire, etc etc....
NB. Je cherche des applications, des partenaires intéressés par RefPerSys
en http://refpersys.org/
-- Basile Starynkevitch <bas...@starynkevitch.net> (only mine opinions / les opinions sont miennes uniquement) 92340 Bourg-la-Reine, France web page: starynkevitch.net/Basile/
Basile Starynkevitch
Bonjour à toutes et tous,
Désolé pour cette demande un peu HS, mais je ne saurais pas l'énoncer à un moteur de recherche. Seul un humain peut me guider vers les apprentissages qui me seront utiles.
Le livre de Guy Pujolles, les réseaux, ISBN 2-212-11121-5 (ed. Eyrolles) n'est pas exhaustif sur la question (mais très bon) et dépasse le millier de pages (format environ A5).
Apprendre les réseaux en quelques pages relève de mon point de vue d'une fiction naïve.
Fab
> domestique, n’est pas vulnérable à des attaques de l’intérieur, il n’y a
> personne de malveillant à l’intérieur. Donc cet aspect de la sécurité
> des réseaux d’entreprise ne me concerne pas.
copains de tes enfants.
* Sauf si tu as des devices connectés chez toi que tu ne connais pas :
(Chaine Hi-Hi, TV, Thermomix (si si), tablette et smartphone, domotique
, etc... )
Donc, je pense que même pour les réseaux domestiques, il faut contrôler
ce qui sort. Et si tu ne fais pas confiance à ta BOX [ce qui parait
plutôt raisonnable], tu peux installer un boitier FW juste après.
Il y aurait tellement de choses à rajouter. Bon courage dans tes
recherches, tu vas apprendre plein de trucs ;)
f.
benoit
On 18/08/2022 09:03, benoit wrote:
Bonjour à toutes et tous,
Désolé pour cette demande un peu HS, mais je ne saurais pas l'énoncer à un moteur de recherche. Seul un humain peut me guider vers les apprentissages qui me seront utiles.
Je recherche un tuto (par écrit pas en vidéo) au terme duquel je serai capable de sécuriser un réseau avec un niveau de sécurité domestique.
Genre, mon réseau n’a aucun intérêt, mais j’ai pas envie que ce soit une passoire et que ma passerelle (avec son petit serveur web perso) soit utilisée pour mener une attaque sur un autre réseau. Mon réseau étant domestique, n’est pas vulnérable à des attaques de l’intérieur, il n’y a personne de malveillant à l’intérieur. Donc cet aspect de la sécurité des réseaux d’entreprise ne me concerne pas. Pas de contrôle parental a mettre en place non plus.
Et aussi, comment sécuriser mon ordinateur portable quand je suis à l'extérieur sur un wifi ou que j'utilise la 4G.
Je me suis acheté ce livre espérant en apprendre davantage, mais il est trop verbeux et je me suis découragé.
Je voudrais un tuto qui explique en quelques lignes (et pas 50 pages) avant de montrer les commandes à taper.
A mon avis ça ne peut pas exister..... Le tutoriel devrait faire des centaines de pages, pas quelques lignes ou paragraphes!!
Il faut des années de travail pour comprendre les enjeux de la cybersecurité:
- contre qui veut-on se protéger? L'adolescent boutonneux (isolé dans sa chambre) ou bien les forces de cyberattaques d'un pays hostile?
- quelles informations sont à garder "secretes" ou "privées"
- les obligations légales RGPD https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd
- Cas particulier des données nominatives liées à la santé
- Les données liées au secret des affaires, juridique, militaire, etc etc....
Md
dans un premier temps,la simplicité de UFW
---> https://www.tecmint.com/setup-ufw-firewall-on-ubuntu-and-debian/
ce qui permet progressivement de se familiariser avec les tables/règles.
et un outil comme NETSTAT par ex.
--->https://www.tecmint.com/20-netstat-commands-for-linux-network-management/
Bon courage.
Frédéric MASSOT
>>
>> cybersecurité:*
>>
>> * *contre qui veut-on se protéger? L'adolescent boutonneux *(isolé
>> dans sa chambre)*ou bien les forces de cyberattaques d'un pays
>> hostile?*
>> * *quelles informations sont à garder "secretes" ou "privées"*
>> * *les obligations légales RGPD
>> https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd <https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd>*
>> * *Cas particulier des données nominatives liées à la santé*
>> * *Les données liées au secret des affaires, juridique, militaire,
>> etc etc....
>> *
>>
>
> C'est pour ça que je suis si précis dans ma demande, pour bien exclure
> des questions telles que : cyberattaques d'un pays hostile, obligations
> légales RGPD, données liées au secret des affaires, juridique,
> militaire, etc
>
> On est bien sur un réseau domestique et je n'ai rien à protéger si ce
> n'est mes films préférés ou ma bibliothèque de livres électroniques dans
> le réseau interne via un serveur nfs, ainsi que mon site web perso avec
> les photo de vacance ou de mon chien ! :-)
>
> Quand aux quelques codes sources des petits programmes que je développe
> en dilettante, je ne demande pas mieux qu'on vienne les lire ou qu'on
> me les prennes ! ;-)
données. Ce qui va les intéresser, c'est que tu as une machine connectée
en permanence à Internet, un bon débit, une puissance de calcul ou de
l'espace de stockage. Ta machine va pouvoir participer à un réseau de
diffusion de spams, participer à des attaques DDOS, déchiffrer des mots
de passe, stocker des données illégales, etc. Ta machine peut servir à
pas mal de chose :o)
Donc pour le réseau, il faut bloquer tous les accès en entrée ou en
sortie, autoriser que ce qui est nécessaire. Et pour la machine
surveiller les variations d'activités, de ressources, etc.
--
==============================================
| FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto:fred...@juliana-multimedia.com |
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |
===========================Debian=GNU/Linux===
benoit
> Le 18/08/2022 à 12:20, benoit a écrit :
> > > > Genre, mon réseau n’a aucun intérêt, mais j’ai pas envie que ce soit
> > > > une passoire et que ma passerelle (avec son petit serveur web perso)
> > > > soit utilisée pour mener une attaque sur un autre réseau.
> en permanence à Internet, un bon débit, une puissance de calcul ou de
> l'espace de stockage. Ta machine va pouvoir participer à un réseau de
> diffusion de spams, participer à des attaques DDOS, déchiffrer des mots
> de passe, stocker des données illégales, etc. Ta machine peut servir à
> pas mal de chose :o)
>
> Donc pour le réseau, il faut bloquer tous les accès en entrée ou en
> sortie, autoriser que ce qui est nécessaire. Et pour la machine
> surveiller les variations d'activités, de ressources, etc.
>
Pour pour pouvoir utiliser ma machine aux fins malveillantes que tu cites (des attaques DDOS, déchiffrer des mots de passe), je suppose qu’il est nécessaire d’y installer du code résidant en mémoire ou sur le système de fichier ?
Une question que je me pausais : est-ce que ça servirait à quelque chose au niveau sécurité (anti rootkit ou autre) d’installer la partition / (avec root, etc, boot, usr) sur une carte SD verrouillée en écriture et /var (pour la DB de mon site et les log ) et /home sur le disque dur ?
Ainsi je n’aurais qu’à déverrouiller la carte lors des mises à jour et la verrouiller ensuit.
Ou bien est-ce que du code malveillant peut tout aussi bien être installé dans /var ?
Bien que même dans ce cas, il me semble que /var est beaucoup plus facile à surveiller et nettoyer…
Si je fais régulièrement un dump en de la base de données du site dans un ficher texte, je remets /var au backup d’origine et je restaure la base avec le dump.
Est-ce que ça serait réalisable,utile et efficace de faire ça ?
Si c'était une si bonne idée, tous les admins le feraient, comme ce n'est pas le cas, j'ai des doutes. ;-)
Merci d'avance,
Benoit
Sébastien NOBILI
Le 2022-08-19 21:55, benoit a écrit :
> A ok je ne savais pas qui fallait aussi bloquer les accès en sortie
> (ça veut dire les ports je suppose) bon a savoir.
plus tu es protégé, mais plus tu es contraint également. Il arrive un
moment où la contrainte est telle que la mesure de sécurité est
contournée.
Il faut trouver le niveau adapté à ton contexte.
> Une question que je me pausais : est-ce que ça servirait à quelque
> chose au niveau sécurité (anti rootkit ou autre) d’installer la
> partition / (avec root, etc, boot, usr) sur une carte SD verrouillée
> en écriture et /var (pour la DB de mon site et les log ) et /home sur
> le disque dur ?
>
> Ainsi je n’aurais qu’à déverrouiller la carte lors des mises à jour et
> la verrouiller ensuit.
>
> Ou bien est-ce que du code malveillant peut tout aussi bien être
> installé dans /var ?
Verrouiller /, /var, etc. te permettra d'ajouter un niveau
supplémentaire
avant que le système soit corrompu. Si quelqu'un exploite une faille qui
ne lui donne accès qu'à un compte aux privilèges restreints, alors ton
système sera toujours intègre. Ça n'empêchera pas pour autant d'utiliser
ce compte restreint pour mener des attaques.
Mais imaginons que tu mettes en place un tel mécanisme. Imaginons aussi
que quelqu'un exploite une faille d'un compte utilisateur aux privilèges
restreints.
Est-ce que tu pourras considérer sereinement que le système est toujours
intègre ? Qu'est-ce qui te garantira qu'une autre faille n'a pas été
exploitée pour modifier le système ?
Là encore, il n'y a pas de réponse absolue et il n'y a jamais de moment
où tu peux considérer que tu as écarté tous les risques.
Sébastien
Daniel Caillibaud
> > personne de malveillant à l’intérieur. Donc cet aspect de la sécurité
> > des réseaux d’entreprise ne me concerne pas.
> * Sauf si tu files ton accès wifi au copain qui vient chez toi ou aux
> copains de tes enfants.
> * Sauf si tu as des devices connectés chez toi que tu ne connais pas :
> (Chaine Hi-Hi, TV, Thermomix (si si), tablette et smartphone, domotique
> , etc... )
internes peuvent se connecter entre elles, mais on doit les considérer potentiellement aussi
malveillantes que n'importe quelle machine externe.
Un PC ou téléphone vérolé qui se connecte au wifi, ça arrivera forcément un jour ou l'autre,
sans parler des montres / frigos / caméras / chaudières / imprimantes / n'importe quel autre
truc connecté et jamais mis à jour.
--
Daniel
On ne va tout de même pas se laisser abattre.
John F. Kennedy.
Erwann Le Bras
bonjour
dans cette optique, le réseau wifi chez moi est considéré conne externe. Mon réseau filaire est interne.
j'ai une machine branchée sur la box et un second port réseau
sur le hub qui dessert la maison et un firewall (iptables). Je
reconnais que je ne filtre pas le sortant, que l'entrant, et ce
n'est pas bien.
un portable ou un téléphone en wifi devra obligatoirement
passer par le VPN pour accéder à une ressource interne
amitiés,
--Erwann
Fab
> VPN pour accéder à une ressource interne
f.
Fab
merci!
f.
Erwann Le Bras
un portable ou un téléphone en wifi devra obligatoirement passer par le VPN pour accéder à une ressource interneça veut dire que t'as pas de TV ou Hifi connectée en filaire ?
f.
bonjour
Si, la TV est connectée en filaire au serveur multimédia
(Universal Media Server) du serveur qui n'écoute que sur
l'interface interne.
amitiés,
--Erwann