Question Virtualisation (Securité/Firewall)

[filou59]

Filou, tu peux tester ton infra très facilement avec nmap c'est simple et libre en plus !
Cet outil te permet de faire des scans en interne et en externe, beaucoup de logiciels ou solutions de sécu se base dessus.

Yes merci, j'avais déjà mis quelques tuto de cote a base de nmap et tcpdump apparement.

@ Weee,

le soucis c'est que là tu lui demandes de faire de l'informatique pure, c'est pas évident tout ça. Et l'administration réseau c'est un monde à part..
Par contre il existe des distributions spécialisées dans les audit de sécurité.

@filou59,
Regarde la distribtion Kali, elle est mise à jour tout le temps pour lister toutes les failles et permet de faire une multitude de tests sur ton infra, comme les intrusions, le cryptolockage, etc.
Ca sera plus simple je pense, tu obtiens des rapports avec les corrections à apporter ainsi que leurs gravités

Merci pour Kali
Xeno : Tu crois que je fais quoi là ? Ces 2 derniers jour je les ai passé a faire de la ligne de commande afin de trouver pourquoi j'arrivais pas résoudre mes nom de domaine en interne.
A coup de : 

Code :

host
dig
nlook

A coup de modification de fichier resolv.conf dans mon proxmox dans mes container a coup de modification de reglage dans mon routeur...
Avec 4 ou 5 fenetre bash ouverte en meme temps. 

Tu es trop habitué a Windows (si ma mémoire est bonne   ) , amuse toi un peu avec des distrib linux en ligne de commande tu verra c'est fun    (J'aurais jamais cru dire ca il y a 20ans )

@ Weee,

le soucis c'est que là tu lui demandes de faire de l'informatique pure, c'est pas évident tout ça. Et l'administration réseau c'est un monde à part..
Par contre il existe des distributions spécialisées dans les audit de sécurité.

On peut faire du réseau avec différents niveaux de connaissances, on peut très bien en faire à petit niveau sans problème.
Je vois sur ce forum et sur d'autres des particuliers qui mettent en place des VLAN par exemple ou des équipements pro et qui s'en sortent très bien.
Alors oui il ne feront pas de LACP entre deux liens (quoi que j'ai déjà vu des particuliers le faire sur le forum lafibre) ou du routage BGP entre différents AS on est bien d'accord

Mais filou59 fait plein de choses et surtout il s'intéresse à ce qu'il fait, je trouve donc normal d'être dans l'échange en répondant à ses questions.
Une petite Kali comme tu le suggère ou un petit nmap permettent rapidement d'avoir une idée de ce qu'on peut faire pour sécuriser un peu plus son réseau.

Tout a fait thierry 

Mais filou59 fait plein de choses et surtout il s'intéresse à ce qu'il fait, je trouve donc normal d'être dans l'échange en répondant à ses questions.
Une petite Kali comme tu le suggère ou un petit nmap permettent rapidement d'avoir une idée de ce qu'on peut faire pour sécuriser un peu plus son réseau.

Ah oui oui je sais, j'ai pas dit le contraire, mais je pense qu'en tant que particulier, autant s'appuyer sur des distrib dédiée que de devoir utiliser les outils que des informaticiens utilisent tous les jours, pour un usage ponctuel. L'investissement de temps sera peu rentable à mon sens.

Bah ca dépend, je pense que connaitre l'existence d'une commande sans forcément la connaitre par coeur, c'est enrichissant et c'est surtout un bon point de départ.

Si je test nmap demain et que j'apprend a m'en servir pour mon besoin, que je note tout ca quelque part, je pourrais ressortir la commande dans 6 mois, 1 ou 5ans.


Tien petit anecdote Au boulot sur du reseau en plus : La semaine derniere, notre ingé réseau me contact (il est pas sur place), il me demande de contacter un de nos prestataire car leur routeur VPN qui est chez nous semble HS. 
On lui avait déjà fait un ON/OFF sans succès.
J'ai pris le VPN, j'ai passé 3 heure dessus, j'ai été jusqu'a sortir Wireshark pour essayer de voir si il prenait une adresse IP, nada, tenté un reset usine avec le petit bouton qui va bien, nada, me suis connecté sur le port console avec un adapteur USB/serie, le mot de pass que l'on avait ne passait pas, le boitier ayant été installlé par le prestataire.
Pour finir, j'ai réussi a lui reseter son mot de passe console via une sorte de loader, ensuite j'ai vue commencé a récupérer un peu la main, j'ai pu voir qu'il s'était mis en mode protection suite a une base de donnée corrompu, ensuite j'ai pu lui faire son petit Reset to Default Factory Settings, et hop j'avais ressuscité le routeur.
On avait un backup de la config que l'on a remis dedans puis c'est reparti.

Bref c'est pas mon taf, c'est pas moi non plus qui aurait sorti le carnet de cheque, j'aurais eu plus vite fait de prendre mon téléphone pour demander un nouveau boitier (ce que certains de mes collègue aurait probablement fait) mais bon c'est pas aussi marrant.

C'est un peu comme sur le forum de lafibre tous les allumés (dont je fais parti) qui veulent retirer la box et brancher ce petit bout de plasique directement dans notre matos pour bénéficier pleinement de leur offres internet.

Perso j'ai pas compris le besoin de ton architecture d'avoir tout ça ?
Tu veux faire quoi en fait ?

Oui moi non plus je comprends pas trop le besoin de faire un truc aussi complexe alors qu'on peut faire beaucoup plus simple (d'où l'usine à gaz dont je parlais ^^)

Vous bloquer sur ma haute dispo de PiHole ?

Historiquement Pihole n'était pas réputé pour etre stable sur le long terme, on va dire que chez moi un ou 2 plantage par an, un petit restart ca prend a peine 5/10s dans le container et c'est reparti. 
Le plus long c'est de se connecter au PiHole de constater que le service et dans le rouge puis de trouver le bouton pour lancer le reboot.

Donc pour eviter ca et parcequ'une tache qui relancerais PiHole ne serait pas aussi amusante et aussi parce que ca ne répondrais a mon besoin en cas d'opération de maintenance sur le Hard/Soft de l'hyperviseur et parceque ca ne me coute rien en "machine", je vais tenter ca.

C'est clair pour tout le monde ? ou je dois préciser encore quelque chose ?