15/02/2021, 08:05:30
Merci pour tes précieuses réponses.
J'ai du pain sur la planche comme on dit.
Oui je sais, quand on sait que parfois certains informaticiens n'ont jamais ouvert un PC, crient au secours au moindre soucis ... même si en quelques diziane d'année l'informatique a drolement évolué tellement il peut y avoir de spécialisation ou autre c'est devenu un domaine très vaste.
Mais bon pour en revenir a moi, on dit qu'une des qualités principales d'un bon maintenancier et la curiosité, il faut se tenir a la page constamment et pas forcément que dans son domaine.
L'automatisme a migrer par exemple vers l'Ethernet en quelques années et il faut a tout prix avoir quelques notion dans pas mal de domaine.
Par contre etre trop curieux n'a pas que des avantages car les journées ne fond que 24h et le danger c'est d'avoir trop d'idées farfelu a vouloir mettre en oeuvre
Ca parait tout con, mais avec la solution que j'ai mise en place j'arrive maintenant a forcer les DNS a passer par un PiHole maintenant même si l'utilisateur a mis d'autre DNS en statique.
Chose que je ne savais pas faire directement sur la box de l'operateur.
Même si les loupiots sont petit 1 et 4ans, je me dis qu'a leur place, si ils sont un peu curieux comme je l'ai été, qu'ils ne mettrons pas longtemps avant de tenter de contourner les blocages que je tenterais d'effectuer, du coup autant prendre un peu d'avance
Et puis là du coup je me dis, mon Pihole (dans une version antérieur) plantait de temps en temps, ca serrait bien de faire un système de haute disponibilité, en gros avoir 2 PiHole lancé, un maitre et un backup. Ca permet d'avoir un systeme de secours même pendant une opération de maintenance, par exemple mis a jour, intervention sur l'hote proxmox etc...
Une IP virtuelle pour celui qui est actif et les DNS qui pointe sur cette IP.
Bon ca c'est la partie simple, oui mais vue que je veux utiliser le DHCP sur le pihole pour faciliter la résolution de nom des machine locale, il faut savoir gérer cette partie là aussi pour pas avoir 2 DHCP sur le même LAN.
Bref c'est plus fun que de redémarrer bêtement la machine régulièrement
Pour en revenir a la sécu et au Firewall :
-J'essaie de bien comprendre et cerner les potentiels failles qu'il peut y avoir pour pouvoir travailler dessus.
-Prochainnement je vais me mettre a la recherche de moyen pour tester mon infra aussi bien depuis l'extérieur, que depuis l'intérieur.
-J'ai déjà lancé des tests depuis des sites qui le propose pour m'assurer que les ports sont bien fermé, mais je veux pousser un peu plus loin.
-Je vais probablement investir dans un routeur 4G qui me permettra de faire des tests de chez moi afin de comprendre l'impact de tel ou tel règle sur mon firewall.
Rien de tel que faire des test en live et de mesurer les conséquences et les effets de tel ou tel règle, sachant que la position d'une règle peut rendre inopérant toutes les suivantes,
Mais j'aimerais aussi m'assurer que tel ou tel port est bien bloqué, (On peu le faire depuis des sites, mais c'est encore mieux si on test soit même)
Mais aussi bloquer les scan de port, bloquer les tentatives infructueuse de connexion (Fail2Ban ...)
bref c'est intéressant de bien comprendre le mécanisme et de valider tel ou tel chose.
Accessoirement le routeur me servira aussi quand on part en vacance car je quitte jamais le PC Portable (Geek 1 jour, Geek toujours )
-En interne je vais aussi activer les Firewall progressivement, mais là aussi je veux essayer de tester tout ca et comprendre.
-Pour les MAJ tu as raison, normalement je fais en sorte de les faire régulièrement , selon la machine je fais de plus en plus des MAJ automatiques selon le degré d'importance.
-Les Atttaques par Ransomware, oui c'est un peu ma hantise, c'est pour ca que je réfléchi depuis plusieurs mois a remettre a plat toutes mes données afin de les sauvegarder/dupliquer sur plusieurs machines, dont certaines ne serait pas sous tension en permanence, "les machines de backup" serait peu être les seuls a initier les connexions vers les machines a sauvegarder.
-La mise en place du système de fichier ZFS permet de faire des backup/synchro/snapshot assez facilement, couplé a des envoi distant cela peu permettre d'obtenir un niveau de sécurité je l'espere intéressant.
-Je pense qu'il faut que je sécurise au maximum la partie hyperviseur sur laquelle le système de fichier ZFS sera en place.
En gros si une machine est vérolé et qu'elle accède a des données qui sont sur un pool en partage, j'aurais une sauvegarde.
Par contre si c'est la machine qui hôte qui est infecté, là suivant la brèche il peut y avoir plus de dégât.
-Pour les partages Windows c'est noté je regarderais, mais quand tu dis de désactiver les partages UNC, tu désactives tout ?
Même si tu as besoin de partager de fichiers ?
Désactiver des partage du style tout un disque comme C:\ OK
Mais par contre définir un dossier \Partage dans lequel je veux mettre a disposition des fichiers a d'autre PC, est-ce que cela pose un risque ?
-Au niveau des mes machines linux, je fais en sorte de ne partager que ce qui est nécessaire.
Par exemple si j'ai un serveur pour la ZIK, seul le dossier qui contient les MP3 est partagé, ce dossier étant lui même backupé.
Par contre il faudrait probablement que j'applique un peu plus de restriction, ca ne pourrait pas faire de mal, car actuellement c'est du NFS et c'est openbar sur ce dossier pour tout le réseau, mais bon c'est limité a ce dossier.
-Après si on met en place un NAS ou une distrib qui joue le role de NAS dans mon cas le but c'est bien de partagé les fichier sur le réseau.
Donc il faut bien y réfléchir.
-Je pense qu'une des clé c'est aussi les droits que l'on met sur nos PC, attention aux utilisateurs commun entre plusieurs PC ?
-Au taf on s'était fait infecté qq machine il y 4/5 ans par un vieux virus des années 2000 qui se promenait grâce a des droits commun entre plusieurs serveur.
-Plus récemment on a été, un de nos site a été victime au taf d'une attaque par ransomware, une filiale racheté qq mois auparavant, notre service informatique a été sur le pied de guerre pendant plusieurs semaine aidé par Orange Cyberdéfense.
Le ou les attaquant étaient rentré on ne sait comment, mais des traces ont montré qu'il avait réussi a s'implanté tranquillement plusieurs mois avant dans l'active directory, il avait pris des droits puis un a déclencher tout le basar un dimanche matin a 2h00 du mat.
Autant dire c'est assez efficace.
Le site et toujours coupé du monde et n'a toujours pas été reconnecté a notre réseau par crainte d'une nouvelle contamination qui serait éventuellement de plus grande envergure et qui paralyserait toute la boite.
Surtout que ce qui change beaucoup avec la fibre mine de rien c'est que l'on est quasiment en IP Fixe, les changements d'IP selon les opérateurs sont extrêmement rare du coup si faille il y a l'attaquant a du temps devant lui.
Au tout début de l'ADSL l'IP changeait tout les jours, puis avec le temps elle changeait de moins en moins souvent, mais un peu plus j'ai l'impression qu'en fibre.
J'ai du pain sur la planche comme on dit.
Citation :Déjà bravo, tu n'es certes pas du métier mais tu fais des choses que certains informaticiens ne font même pas !Merci
![[Image: wink.gif]](http://www.knx-fr.com/images/smilies/wink.gif)
Oui je sais, quand on sait que parfois certains informaticiens n'ont jamais ouvert un PC, crient au secours au moindre soucis ... même si en quelques diziane d'année l'informatique a drolement évolué tellement il peut y avoir de spécialisation ou autre c'est devenu un domaine très vaste.
Mais bon pour en revenir a moi, on dit qu'une des qualités principales d'un bon maintenancier et la curiosité, il faut se tenir a la page constamment et pas forcément que dans son domaine.
L'automatisme a migrer par exemple vers l'Ethernet en quelques années et il faut a tout prix avoir quelques notion dans pas mal de domaine.
Par contre etre trop curieux n'a pas que des avantages car les journées ne fond que 24h et le danger c'est d'avoir trop d'idées farfelu a vouloir mettre en oeuvre
Ca parait tout con, mais avec la solution que j'ai mise en place j'arrive maintenant a forcer les DNS a passer par un PiHole maintenant même si l'utilisateur a mis d'autre DNS en statique.
Chose que je ne savais pas faire directement sur la box de l'operateur.
Même si les loupiots sont petit 1 et 4ans, je me dis qu'a leur place, si ils sont un peu curieux comme je l'ai été, qu'ils ne mettrons pas longtemps avant de tenter de contourner les blocages que je tenterais d'effectuer, du coup autant prendre un peu d'avance
Et puis là du coup je me dis, mon Pihole (dans une version antérieur) plantait de temps en temps, ca serrait bien de faire un système de haute disponibilité, en gros avoir 2 PiHole lancé, un maitre et un backup. Ca permet d'avoir un systeme de secours même pendant une opération de maintenance, par exemple mis a jour, intervention sur l'hote proxmox etc...
Une IP virtuelle pour celui qui est actif et les DNS qui pointe sur cette IP.
Bon ca c'est la partie simple, oui mais vue que je veux utiliser le DHCP sur le pihole pour faciliter la résolution de nom des machine locale, il faut savoir gérer cette partie là aussi pour pas avoir 2 DHCP sur le même LAN.
Bref c'est plus fun que de redémarrer bêtement la machine régulièrement
Pour en revenir a la sécu et au Firewall :
-J'essaie de bien comprendre et cerner les potentiels failles qu'il peut y avoir pour pouvoir travailler dessus.
-Prochainnement je vais me mettre a la recherche de moyen pour tester mon infra aussi bien depuis l'extérieur, que depuis l'intérieur.
-J'ai déjà lancé des tests depuis des sites qui le propose pour m'assurer que les ports sont bien fermé, mais je veux pousser un peu plus loin.
-Je vais probablement investir dans un routeur 4G qui me permettra de faire des tests de chez moi afin de comprendre l'impact de tel ou tel règle sur mon firewall.
Rien de tel que faire des test en live et de mesurer les conséquences et les effets de tel ou tel règle, sachant que la position d'une règle peut rendre inopérant toutes les suivantes,
Mais j'aimerais aussi m'assurer que tel ou tel port est bien bloqué, (On peu le faire depuis des sites, mais c'est encore mieux si on test soit même)
Mais aussi bloquer les scan de port, bloquer les tentatives infructueuse de connexion (Fail2Ban ...)
bref c'est intéressant de bien comprendre le mécanisme et de valider tel ou tel chose.
Accessoirement le routeur me servira aussi quand on part en vacance car je quitte jamais le PC Portable (Geek 1 jour, Geek toujours
)-En interne je vais aussi activer les Firewall progressivement, mais là aussi je veux essayer de tester tout ca et comprendre.
-Pour les MAJ tu as raison, normalement je fais en sorte de les faire régulièrement , selon la machine je fais de plus en plus des MAJ automatiques selon le degré d'importance.
-Les Atttaques par Ransomware, oui c'est un peu ma hantise, c'est pour ca que je réfléchi depuis plusieurs mois a remettre a plat toutes mes données afin de les sauvegarder/dupliquer sur plusieurs machines, dont certaines ne serait pas sous tension en permanence, "les machines de backup" serait peu être les seuls a initier les connexions vers les machines a sauvegarder.
-La mise en place du système de fichier ZFS permet de faire des backup/synchro/snapshot assez facilement, couplé a des envoi distant cela peu permettre d'obtenir un niveau de sécurité je l'espere intéressant.
-Je pense qu'il faut que je sécurise au maximum la partie hyperviseur sur laquelle le système de fichier ZFS sera en place.
En gros si une machine est vérolé et qu'elle accède a des données qui sont sur un pool en partage, j'aurais une sauvegarde.
Par contre si c'est la machine qui hôte qui est infecté, là suivant la brèche il peut y avoir plus de dégât.
-Pour les partages Windows c'est noté je regarderais, mais quand tu dis de désactiver les partages UNC, tu désactives tout ?
Même si tu as besoin de partager de fichiers ?
Désactiver des partage du style tout un disque comme C:\ OK
Mais par contre définir un dossier \Partage dans lequel je veux mettre a disposition des fichiers a d'autre PC, est-ce que cela pose un risque ?
-Au niveau des mes machines linux, je fais en sorte de ne partager que ce qui est nécessaire.
Par exemple si j'ai un serveur pour la ZIK, seul le dossier qui contient les MP3 est partagé, ce dossier étant lui même backupé.
Par contre il faudrait probablement que j'applique un peu plus de restriction, ca ne pourrait pas faire de mal, car actuellement c'est du NFS et c'est openbar sur ce dossier pour tout le réseau, mais bon c'est limité a ce dossier.
-Après si on met en place un NAS ou une distrib qui joue le role de NAS dans mon cas le but c'est bien de partagé les fichier sur le réseau.
Donc il faut bien y réfléchir.
-Je pense qu'une des clé c'est aussi les droits que l'on met sur nos PC, attention aux utilisateurs commun entre plusieurs PC ?
-Au taf on s'était fait infecté qq machine il y 4/5 ans par un vieux virus des années 2000 qui se promenait grâce a des droits commun entre plusieurs serveur.
-Plus récemment on a été, un de nos site a été victime au taf d'une attaque par ransomware, une filiale racheté qq mois auparavant, notre service informatique a été sur le pied de guerre pendant plusieurs semaine aidé par Orange Cyberdéfense.
Le ou les attaquant étaient rentré on ne sait comment, mais des traces ont montré qu'il avait réussi a s'implanté tranquillement plusieurs mois avant dans l'active directory, il avait pris des droits puis un a déclencher tout le basar un dimanche matin a 2h00 du mat.
Autant dire c'est assez efficace.
Le site et toujours coupé du monde et n'a toujours pas été reconnecté a notre réseau par crainte d'une nouvelle contamination qui serait éventuellement de plus grande envergure et qui paralyserait toute la boite.
Surtout que ce qui change beaucoup avec la fibre mine de rien c'est que l'on est quasiment en IP Fixe, les changements d'IP selon les opérateurs sont extrêmement rare du coup si faille il y a l'attaquant a du temps devant lui.
Au tout début de l'ADSL l'IP changeait tout les jours, puis avec le temps elle changeait de moins en moins souvent, mais un peu plus j'ai l'impression qu'en fibre.
KNX Partner Base / Avancé
Ma boite de MP est pleine, merci de créer un post si vous avez une question, cela profitera a tout le monde.
Ma boite de MP est pleine, merci de créer un post si vous avez une question, cela profitera a tout le monde.