Salut filou59,
Tu m'aides beaucoup sur le KNX et l'électricité en général, à mon tour d'essayer de t'aider.
Tout d'abord je vois que sans être un pro tu es un grand bidouilleur, cela te permet de comprendre pas mal de notions.
J'aime bien faire le parallèle entre la sécurité et une assurance, c'est toujours trop cher quand on en a pas besoin...
Par contre en cas de soucis cela vous sauve la mise !
Mais ce pare-feu sera totalement inefficace si l'attaque provient du même réseau, car sur un même réseau les machines parlent entre elles sans passer par ta passerelle (qui dans l'idéal est aussi ton firewall).
Le pare-feu iptables sur Linux est vraiment très simple à mettre en place et à gérer, en gros pour pas trop cher en temps tu peux faire :
1) Tu fermes tout
2) Tu ouvres seulement ce dont tu as besoin
3) Tu met tout cela dans un script qui sera exécuté au démarrage
Pour les Container, s'ils sont sur un réseau interne par exemple 172.16.2.0/24 avec par exemple 172.16.2.1 à 172.16.2.32 pour tes containers, et que c'est la machine Proxmox qui reçoit les connexions puis redirige les ports ouverts où il faut, le pare-feu de Proxmox peut te suffire oui.
Mon conseil vu que tu dois certainement avoir tes VM sur le même réseau que ton Proxmox et tes containers sur un autre, active le pare-feu sur Proxmox et sur tes VM.
Un attaquant pourrait alors exploiter une telle faille et obtenir un accès root et donc faire ce qu'il veut... y compris ouvrir ce qu'il veut pour ensuite attaquer ton infra.
On est d'accord que c'est hypothétique et que les chances sont très faibles, mais ce genre de faille existe malheureusement.
Je ne parle pas volontairement des failles au niveau des architectures processeur tel que Spectre ou Meltdown on l'on pourrait en théorie depuis une VM avoir accès à la mémoire des autres VMs et de ton hyperviseur... donc si ton point d'entré est vérolé c'est cuit.
Ce qu'il faut retenir c'est que ce genre de failles critiques sont très rares mais peuvent exister.
Et également d'Internet si par étourderie tu rediriges des ports dessus et que derrière c'est un soft vulnérable qui écoute... hypothétique mais pas impossible.
Pour résumer
Je pense que tu devrais activer le pare-feu de ton hyperviseur mais également de tes VM si tu le peux.
Tu m'aides beaucoup sur le KNX et l'électricité en général, à mon tour d'essayer de t'aider.
Tout d'abord je vois que sans être un pro tu es un grand bidouilleur, cela te permet de comprendre pas mal de notions.
(13/02/2021, 11:46:28)filou59 a écrit : Passons aux questions du jour :
Mes questions tournent autour de la sécurisation et donc du/des Firewall.
J'aime bien faire le parallèle entre la sécurité et une assurance, c'est toujours trop cher quand on en a pas besoin...
Par contre en cas de soucis cela vous sauve la mise !
(13/02/2021, 11:46:28)filou59 a écrit : 1.Je me dis que j'ai un Firewall dans le routeur donc a quoi bon activer un Firewall sur les machine Linux de réseau local ?En fait le firewall du routeur va te protéger des attaques d'Internet, ou entre tes différents réseaux en interne.
Mais ce pare-feu sera totalement inefficace si l'attaque provient du même réseau, car sur un même réseau les machines parlent entre elles sans passer par ta passerelle (qui dans l'idéal est aussi ton firewall).
(13/02/2021, 11:46:28)filou59 a écrit : 2.Quel risque y a t-il a ne pas mettre de firewall sur une machine Linux local ?Oui en gros c'est ça, qu'un PC infecté ou dont un attaquant aurait pris le contrôle, tente de s'étendre ou de pirater d'autre machines de ton réseau.
Avoir un PC local infecté qui chercherais d'autres machines ?
Le pare-feu iptables sur Linux est vraiment très simple à mettre en place et à gérer, en gros pour pas trop cher en temps tu peux faire :
1) Tu fermes tout
2) Tu ouvres seulement ce dont tu as besoin
3) Tu met tout cela dans un script qui sera exécuté au démarrage
(13/02/2021, 11:46:28)filou59 a écrit : 3.Si je souhaite activer les Firewall a quel niveau faut-il le faire ?Tout va dépendre de ton architecture réseau en fait, si par exemple ton Proxmox est en 192.168.0.10/24, et tes VM sont sur ce même réseau par exemple 192.168.0.11 à 16, le pare-feu de Proxmox ne protégera que la machine Proxmox.
Par exemple si je prend l'exemple de proxmox, on peut activer le firewall au niveau de proxmox pour protéger les VM/Container,
Mais du coup je suppose que cela ne sert a rien d'activer le firewall dans la distrib de la VM ?
Pour les Container, s'ils sont sur un réseau interne par exemple 172.16.2.0/24 avec par exemple 172.16.2.1 à 172.16.2.32 pour tes containers, et que c'est la machine Proxmox qui reçoit les connexions puis redirige les ports ouverts où il faut, le pare-feu de Proxmox peut te suffire oui.
Mon conseil vu que tu dois certainement avoir tes VM sur le même réseau que ton Proxmox et tes containers sur un autre, active le pare-feu sur Proxmox et sur tes VM.
(13/02/2021, 11:46:28)filou59 a écrit : Maintenant passons a un autre cas, celui d'une config basé sur un Routeur Logiciel virtualisé :Déjà bravo, tu n'es certes pas du métier mais tu fais des choses que certains informaticiens ne font même pas !
(13/02/2021, 11:46:28)filou59 a écrit : 4.Mon proxmox est-il vulnérable depuis l'exterieur vue que le routeur est en frontal ?Alors oui... il peut être vulnérable en cas de faille de ton firewall CHR de Mikrotik, OPNSense avant, une faille 0-day ou une faille découverte et que tu n'as pas encore patché.
Un attaquant pourrait alors exploiter une telle faille et obtenir un accès root et donc faire ce qu'il veut... y compris ouvrir ce qu'il veut pour ensuite attaquer ton infra.
On est d'accord que c'est hypothétique et que les chances sont très faibles, mais ce genre de faille existe malheureusement.
Je ne parle pas volontairement des failles au niveau des architectures processeur tel que Spectre ou Meltdown on l'on pourrait en théorie depuis une VM avoir accès à la mémoire des autres VMs et de ton hyperviseur... donc si ton point d'entré est vérolé c'est cuit.
Ce qu'il faut retenir c'est que ce genre de failles critiques sont très rares mais peuvent exister.
(13/02/2021, 11:46:28)filou59 a écrit : 5.Si j'active le Firewall dans proxmox c'est bien pour me protéger localement ?Oui tout à fait tu protégera ton Proxmox des attaques locales.
Et également d'Internet si par étourderie tu rediriges des ports dessus et que derrière c'est un soft vulnérable qui écoute... hypothétique mais pas impossible.
Pour résumer
Je pense que tu devrais activer le pare-feu de ton hyperviseur mais également de tes VM si tu le peux.