Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Réseau local(Vlans) - organisation et "sécurisation"
#26
(20/07/2020, 17:02:25)R4v3n a écrit : [quote pid='48404' dateline='1595259053']
(17/07/2020, 20:13:09)R4v3n a écrit : [quote pid='48344' dateline='1594978145']
et reste largement suffisant pour une protection d'un réseau résidentiel. Ou même pour une TPE ou une petite PME.
Pas à mon goût (et en TPE/PME le wifi devrait être interdit).
Pourquoi ?  Huh
[/quote]
Si tu te poses encore la question de pourquoi, c'est que tu n'as toujours pas compris que le Wifi reste une porte avec une clé dessus.
[/quote]
Ce genre de discours est véritablement à vomir. Tu penses être le roi du monde qui est le seul à maîtriser cette technologie ? Déjà sur un forum traitant spécifiquement du sujet ce serait inaudible, mais là ça dépasse l’entendement.
Il faudrait donc interdire le Wifi dans les entreprises de moins de 250 salariés ? Et donc chez les particuliers évidement ?
Est-tu au au courant du haut de ton incommensurable compétence (c'est comme l'intelligence, ou la confiture, moins on en as plus on l'étale), que des centaines de milliers de ces entreprises et des millions de particuliers utilisent communément du Wifi chaque jour, et ce sans aucun problème et ebn WPA2 (et oui 802.1x a été plusieurs fois compromis lui aussi). Mais peut-être est-ce toi qui ne sait pas t'en servir ?
Pour ma part rassure toi, je sais m'en servir, et la PME qui me paye chaque mois pour ça et d'autres choses s'en porte très bien ! 
Dans l'attente de l'interdiction  Dodgy
Répondre
#27
(20/07/2020, 19:31:03)Du21 a écrit : Ce genre de discours est véritablement à vomir. Tu penses être le roi du monde qui est le seul à maîtriser cette technologie ? Déjà sur un forum traitant spécifiquement du sujet ce serait inaudible, mais là ça dépasse l’entendement.
Il faudrait donc interdire le Wifi dans les entreprises de moins de 250 salariés ? Et donc chez les particuliers évidement ?
Est-tu au au courant du haut de ton incommensurable compétence (c'est comme l'intelligence, ou la confiture, moins on en as plus on l'étale), que des centaines de milliers de ces entreprises et des millions de particuliers utilisent communément du Wifi chaque jour, et ce sans aucun problème et ebn WPA2 (et oui 802.1x a été plusieurs fois compromis lui aussi). Mais peut-être est-ce toi qui ne sait pas t'en servir ?
Pour ma part rassure toi, je sais m'en servir, et la PME qui me paye chaque mois pour ça et d'autres choses s'en porte très bien ! 
Dans l'attente de l'interdiction  Dodgy

Je ne force personne, je dis que je pense qu'il faudrait l'interdire, mais je ne fais pas les lois Smile
Je suis conscient que le wifi est un confort pour énormément de gens, et d'autant plus dans le domaine résidentiel, et c'est bien pour ça que je disais, à la base du topic, de mettre tous les Wifis sur des vlans dédiés.

Je suis tout à fait conscient que des milliers d'entreprises utilisent du wifi, ainsi que des millions de particuliers aussi, et je sais aussi très bien que facilement 90% de ces entreprises ont déjà subit, subissent ou vont subir des intrusions et des exploitations diverses par ces systèmes (vol de données, attaques, espionnage indus etc).
Mais c'est relativement transparent, et surtout, en France, nous n'avons aucune obligation légale de dévoiler publiquement que l'on a été victime d'un vol de données, et ça, ça permet de faire croire à tout le monde que tout va bien, ce qui est loin d'être la réalité.

Je ne travaille pas vraiment avec des PME, et j'en suis bien heureux, ça m'évite ce genre de setup.

Donc, pour en revenir au tout début du sujet, je conseille simplement de mettre chaque wifi sur un vlan dédié, c'est un minimum si l'on ne souhaite pas ajouter des couches de sécu à ses wifis.
Répondre
#28
(20/07/2020, 21:25:21)R4v3n a écrit : Je ne force personne, je dis que je pense qu'il faudrait l'interdire, mais je ne fais pas les lois Smile
Je suis conscient que le wifi est un confort pour énormément de gens, et d'autant plus dans le domaine résidentiel, et c'est bien pour ça que je disais, à la base du topic, de mettre tous les Wifis sur des vlans dédiés.
Je comprends tout à fait ta démarche. Ce qui me gêne dans ce fait, c'est que du coup, si ton PC portable est connecté en filaire, et que tu le débranche pour te balader dans ta maison (par exemple pour tester ce que tu viens de reprogrammer sur le KNX ... mais bon très peu de gens font ça sauf ici Big Grin), tu n'as plus les mêmes droits. Ou alors tu dois ouvrir tellement de choses que ça revient au même que d'être sur le même VLAN.

Citation :Je suis tout à fait conscient que des milliers d'entreprises utilisent du wifi, ainsi que des millions de particuliers aussi, et je sais aussi très bien que facilement 90% de ces entreprises ont déjà subit, subissent ou vont subir des intrusions et des exploitations diverses par ces systèmes (vol de données, attaques, espionnage indus etc).
Mais c'est relativement transparent, et surtout, en France, nous n'avons aucune obligation légale de dévoiler publiquement que l'on a été victime d'un vol de données, et ça, ça permet de faire croire à tout le monde que tout va bien, ce qui est loin d'être la réalité.
Si, en France si tu as une intrusion (en tant qu'entreprise, pas en tant que particulier), tu dois la signaler à l'ANSSI (mais ça reste confidentiel et non dévoilé au grand public). Si en plus cela touche des données personnelles, alors tu dois le signaler à la CNIL et avertir les personnes touchées (et c'est en général dans ces cas là qu'on en entend parler).


Et je connais des PME qui sont bien mieux protégées que des entreprises plus grosses (notamment parce qu'étant petits, ils sont plus agiles, les déploiements sont plus rapides, les cercles de décisions moins long ... il leur faut juste une raison d'investir car le ratio du pourcentage d'investissement VS le chiffre d'affaire est plus important pour eux).
Totalement inutile, complètement indispensable.
Répondre
#29
(21/07/2020, 08:00:40)Woofy a écrit :
(20/07/2020, 21:25:21)R4v3n a écrit : Je ne force personne, je dis que je pense qu'il faudrait l'interdire, mais je ne fais pas les lois Smile
Je suis conscient que le wifi est un confort pour énormément de gens, et d'autant plus dans le domaine résidentiel, et c'est bien pour ça que je disais, à la base du topic, de mettre tous les Wifis sur des vlans dédiés.
Je comprends tout à fait ta démarche. Ce qui me gêne dans ce fait, c'est que du coup, si ton PC portable est connecté en filaire, et que tu le débranche pour te balader dans ta maison (par exemple pour tester ce que tu viens de reprogrammer sur le KNX ... mais bon très peu de gens font ça sauf ici Big Grin), tu n'as plus les mêmes droits. Ou alors tu dois ouvrir tellement de choses que ça revient au même que d'être sur le même VLAN.

Citation :Je suis tout à fait conscient que des milliers d'entreprises utilisent du wifi, ainsi que des millions de particuliers aussi, et je sais aussi très bien que facilement 90% de ces entreprises ont déjà subit, subissent ou vont subir des intrusions et des exploitations diverses par ces systèmes (vol de données, attaques, espionnage indus etc).
Mais c'est relativement transparent, et surtout, en France, nous n'avons aucune obligation légale de dévoiler publiquement que l'on a été victime d'un vol de données, et ça, ça permet de faire croire à tout le monde que tout va bien, ce qui est loin d'être la réalité.
Si, en France si tu as une intrusion (en tant qu'entreprise, pas en tant que particulier), tu dois la signaler à l'ANSSI (mais ça reste confidentiel et non dévoilé au grand public). Si en plus cela touche des données personnelles, alors tu dois le signaler à la CNIL et avertir les personnes touchées (et c'est en général dans ces cas là qu'on en entend parler).


Et je connais des PME qui sont bien mieux protégées que des entreprises plus grosses (notamment parce qu'étant petits, ils sont plus agiles, les déploiements sont plus rapides, les cercles de décisions moins long ... il leur faut juste une raison d'investir car le ratio du pourcentage d'investissement VS le chiffre d'affaire est plus important pour eux).

- Tu te bloques encore sur l'identification du matériel, et tu oublies l'auth de l'utilisateur Wink
- J'ai bien écrit "publiquement". Les données personnelles c'est peanut en terme de réalité des vols de données (dans le monde dans lequel je bosse en tous cas). Et même pour la partie obligation à l'ANSSI, je peux te dire que c'est largement pas appliqué, et même par les plus grosses boîtes.


Je n'en doute pas du tout, bien au contraire, après ça dépend ce qu'elles traitent aussi.
Répondre
#30
Hello

Bon je vais essayer de recentrer la discussion sur le sujet initial ;-)

Du coup, Raven, tu recommandes en cas d'un réseau principal et d'un réseau IOT uniquement pour simplifier:

* Vlan principal
* Vlan IOT
* Vlan Wifi principal
* Vlan Wifi Invité (optionnel)
* Vlan IOT Wifi

et après on joue avec les règles firewall pour que tout ce petit monde communique correctement. Après libre a chacun de suivre tes recommandations ou de fusionner les Vlan wifi et ethernet

Par contre j'ai une question. Sur mes différents réseaux (sauf le Wifi invité), je ne voudrais pas que l'on puisse ajouter d'autres matériels que ceux autorisés (ex: brancher un PC sur une prise Eth et ainsi accéder au réseau principal).

Comment faire cela? Basculer le LAN D'origine (ce que j'ai actuellement) en un Vlan et faire du filtrage d'adresse MAC?

J'ai regardé dans la configuration Unifi et je n'ai rien trouvé concernant le filtrage MAC. Ou alors cela correspond à la notion de "groupe d'utilisateur"....
Répondre
#31
(21/07/2020, 10:57:58)Kevlille a écrit : Hello

Bon je vais essayer de recentrer la discussion sur le sujet initial ;-)

Du coup, Raven, tu recommandes en cas d'un réseau principal et d'un réseau IOT uniquement pour simplifier:

* Vlan principal
* Vlan IOT
* Vlan Wifi principal
* Vlan Wifi Invité (optionnel)
* Vlan IOT Wifi
Du coup ça fait une belle réduction par rapport à la liste que j'avais faite en 1ere page. J'aurais quand même tendance à insister sur le fait d'avoir un VLAN sécu à part, et potentiellement un VLAN dédié à ton portier IP.

(21/07/2020, 10:57:58)Kevlille a écrit : et après on joue avec les règles firewall pour que tout ce petit monde communique correctement. Après libre a chacun de suivre tes recommandations ou de fusionner les Vlan wifi et ethernet
Oui, en ouvrir le strict minimum de façon ultra stricte.
Tout le monde est libre de tout Smile

(21/07/2020, 10:57:58)Kevlille a écrit : Par contre j'ai une question. Sur mes différents réseaux (sauf le Wifi invité), je ne voudrais pas que l'on puisse ajouter d'autres matériels que ceux autorisés (ex: brancher un PC sur une prise Eth et ainsi accéder au réseau principal).
Attention, je ne connais pas les possibilités d'admin du matériel Unifi au niveau routeurs/switches.

Plusieurs cas et plusieurs possibilités :
Pour le DHCP :
Il te suffit de deny l'accès au DHCP des clients inconnus.

Mais dans le cas où l'user qui se connecte se met en IP fixe :
- 802.1X
- Packetfence (ou autre gestionnaire d'accès réseau, peut-être que Ubiquiti inclut ce type de service dans son matériel)
- Whitelist dans ton matériel (switch notamment)

(21/07/2020, 10:57:58)Kevlille a écrit : Comment faire cela? Basculer le LAN D'origine (ce que j'ai actuellement) en un Vlan et faire du filtrage d'adresse MAC?

J'ai regardé dans la configuration Unifi et je n'ai rien trouvé concernant le filtrage MAC. Ou alors cela correspond à la notion de "groupe d'utilisateur"....
Je ne pourrais pas t'en dire plus sur les possibilités du matos Ubi, mais d'autres ici en savent certainement plus ?
Répondre
#32
Hello Raven

Ce n'était qu'un exemple simplifié IOT et le reste. Dans les faits il y aura d'autres Vlans dédiés
Répondre
#33
Ca m'intéresse le matos Ubiquiti... Je sais pas trop ce que ça vaut. 
Au boulot je travaille avec des switchs Cisco 350X et un routeur/firewall PaloAlto. Mais c'est beaucoup trop cher pour un particulier, faut pas déconner.
Du coup, je me suis intéressé à Linksys, mais aussi à Ubiquiti. Il semblerait que le combo:
  • Unify Security Gateway (Pro ou pas)
  • Unify Switch 48 ports
  • Unify AC-PRO

soit pas mal. Mais je demande si les règles de filtrage / VLAN sont suffisantes pour un smart home.
Des retours là dessus Kevlille ? Content ? Le VPN fonctionne correctement ?
S'il faut que j'achète un RPI4 en plus pour mettre OPNSense ou bien WireGuard en plus, l'intérêt va forcément diminuer...
Répondre
#34
Hello Pourkill,

Pour l'instant je me suis servi du matos Unifi de façon très basique.

Ce que j'ai déjà testé c'est le VPN avec Radius et RAS, ça fonctionne nickel.

Concernant les Vlans, je decouvre et donc je tatonne pas mal (surtout pour les règles de filtrage).

Par contre tu peux te faire une idée du système et de son paramètrage sur ce site démo: https://demo.ui.com/
Répondre
#35
Pour ma part, j'ai commandé mes switchs et routeurs, mais j'ai pris des EdgeSwitch et le EdgeRouter 4. Interface moins "uniforme", mais apparemment firmware plus stable et plus avancé. Ça me va très bien.
Ma mise en service est prévue dans 2 mois, donc j'aurais un peu le temps de jouer avec. Smile

A+
Répondre
#36
(02/08/2020, 14:10:31)poukill a écrit : Pour ma part, j'ai commandé mes switchs et routeurs, mais j'ai pris des EdgeSwitch et le EdgeRouter 4. Interface moins "uniforme", mais apparemment firmware plus stable et plus avancé. Ça me va très bien.
Ma mise en service est prévue dans 2 mois, donc j'aurais un peu le temps de jouer avec. Smile

A+

Tu peux nous indiquer à quel endroit tu a vu des infos sur la stabilité des firmwares ? Ca m'intéresse  Confused
Répondre
#37
Pas de problèmes, j'avais posé la question sur le forum Ubiquiti pour choisir entre Unifi et EdgeMax ici : https://community.ui.com/questions/90-pe...223af7d5ea
Répondre
#38
Intéressant comme fil de discussion, mais je m'interroge sur le problème de stabilité des FWs, je n'en ai jamais rencontré en deux ans (je touche du bois).
Je ne connais pas la gamme Edge, mai il est vrai, comme c'est indiqué, que le load-balancing sur Unifi n'est pas simple, il ne peut d’ailleurs être paramétré qu'en ligne de commande, le fail-over, par contre peut-être configuré depuis l'interface web
Répondre
#39
En ce qui me concerne, je connais pas encore vraiment Ubiquiti, je n'ai joué dans le passé qu'avec un Wifi AP.
J'ai suivi les avis du forum en commandant la gamme EdgeMax, ça veut pas dire que c'est la bonne solution... Mais d'après mes recherches sur le Web, on trouve à plusieurs endroits des personnes qui poussent Edge pour les fonctionnalités et la stabilité, quitte à perdre le côté "configuration top depuis une unique interface" de Unifi.
Après, c'est toujours pareil, dans la réalité les fossés sont parfois moins grands et je me serais bien senti avec les deux gammes... Smile
Répondre
#40
Intéressant ! Du coup, ça coûte combien une installation en ubiquiti ?
Répondre
#41
Bah ça dépend de la taille de ton installation.
Un petit routeur ER-X, un Switch 8 ports et wifi AP. Ça fait 300€.
Avec une grosse installation, Switch 48 ports PoE...
Plutôt 1500€
Répondre
#42
Ok merci, le firewall est donc intégré ?
Tu peux nous détailler l'installation prévue ?
Répondre
#43
Sur les produits Ubiquiti, on peut parler de Firewall dans le sens où l'on peut faire des règles de blocage par port, il y a des fonctions IPS (Intrusion Prevention Sysytem) et DPI (Deep Packet Inspection), mais on reste sur des produits aux alentours de 100 €, ça n'a rien d'un UTM, c'est un peu mieux qu'une box opérateur, mais guère plus.
Mais au final je pense que c'est largement suffisant pour un particulier.
Répondre
#44
Bonjour

Ça y est je me suis offert et j’ai installé mon installation Unifi.

J’ai donc :
  • une Unifi Dream Machine Pro (UDM-Pro), reliée par un DAC à
  • un switch 24 Ports PoE (USW-Pro-24-PoE) relié par une fibre monomode de 15 m à
  • un autre switch USW-Pro-24-PoE
(Pourquoi 2 switchs ? Simplement parce que j’ai 2 points de concentration dans la maison, avec environ 60 prises RJ45 sur l’un et 30 sur l’autre.)

… auxquels viennent s’ajouter 2 petits switchs 5 ports mobiles USW-Flex-mini et 4 points d’accès Wifi U6-Lite.

J’ai créé pour l’instant 3 réseaux wifi indépendants :
  • un public pour invités (avec juste une authentification par mot de passe unique sur page d’accueil),
  • un privé caché pour nos usages personnels,
  • un spécifique pour de vielles machines (notamment mes Squezeboxes Radio) qui n’aimaient pas le 5 GHz, le WPA3, ou le roaming 802.11r
Ma connexion internet est assurée par une FreeBox Delta en FTTH à 10 GB/s-700 MB/s (reliée par un DAC au port WAN SFP+ de l’UDM-Pro).


Avant d’aller plus loin (sécurisation++, IPv6, VLAN, wifi supplémentaire… j’y reviendrai et il y tellement de paramètres auxquels je ne comprends rien…), je bute déjà sur un problème vraiment bête : impossible pour l’instant de passer ma box en mode bridge.

Pour l’instant j’ai mis le routeur UDM-Pro en DMZ.
Le réseau de la box est 192.168.0.0 en DHCP assuré par la Freebox, le routeur a reçu l’IP 192.168.0.14 (que j’ai donc déclarée comme DMZ dans la box).
Le réseau en aval du l’UDM-Pro est 192.168.1.0 et c’est lui qui fait DHCP.
Je peux accéder à l’interface de la box à l’adresse 192.168.0.254 et à celle du l’UDM-Pro à 192.168.1.1.
Dans la page de configuration WAN de l’UDM-Pro, je vois bien que son IP extérieure est 192.168.0.14.
(Bizarrement, cette adresse IP s’affiche sur la ligne du WAN RJ45 en 1 Mb/s et non celle du WAN à 10 GB/s en SFP+. Bug ?)

J’ai une redirection de port programmée sur l’UDM-Pro mais elle me marche pas bien : elle marche depuis chez moi (ce qui ne sert pas à grand chose) mais pas depuis l’extérieur.

Par contre, lorsque je passe la Freebox en mode bridge, le trafic web se bloque quelque part (sachant que je ne fais rien d’autre que de changer le mode de fonctionnement de la Freebox à partir de la config actuelle avec DMZ).
Je vois bien mon IP publique de Free s’afficher dans les paramètres WAN de l’UDM-Pro, mais rien ne marche. Je n’arrive même pas à naviguer sur quoi que ce soit depuis chez moi. Aurais-je négligé un paramètre quelque part
Répondre
#45
N'ayant pas encore la chance d'avoir la fibre, je n'ai pas eu l'opportunité de tester cette configuration, mais les questions qui me viennent sont :
en mode bridge,
- Quelle est l'Adresse IP Wan indiqué dans ton dasboard Unifi
- Quelles sont les valeur des serveurs DNS de test postes
- peux tu faire un ping sur une IP publique (8.8.8.8 par exemple)
- peux-tu faire un  traceroute ?
Répondre
#46
Hello Dibou

On a quasi la même install. Pour ma part:

* Freebox delta + lecteur pop
* UDM-Pro
* USW-Pro-24-PoE
*U6-LR
*USW-Flex-mini

J'ai été confronté au même problème... si je passe la Freebox en mode bridge, je n'ai pas d'internet sur le réseau.

Du coup j'ai laissé la Freebox en mode routeur, branché le lecteur Pop en direct dessus et connecté mon UDMP sur le port 10 WAN2 (IP WAN 192.168.1.7 et IP LAN 192.168.1.1) à la Freebox avec un câble SFP+ (IP Freebox server 192.168.1.254)

Aucune redirection de port, DMZ etc et j'accède bien au controlleur Unifi que ce soit en local ou en distant.

Par contre mon but serait de virer complètement la Freebox mais apparemment pas encore faisable avec Free/UDMP. Je n'ai pas vraiment creusé.

PS: pas bien compris ton histoire de WAN RJ45 1Mb/s
Répondre
#47
(14/04/2021, 10:04:32)Kevlille a écrit : J'ai été confronté au même problème... si je passe la Freebox en mode bridge, je n'ai pas d'internet sur le réseau.

Toujours bon à savoir

(14/04/2021, 10:04:32)Kevlille a écrit : Par contre mon but serait de virer complètement la Freebox mais apparemment pas encore faisable avec Free/UDMP. Je n'ai pas vraiment creusé.

D'après les experts, cela semble impossible https://lafibre.info/remplacer-freebox/u...e-la-delta  

(14/04/2021, 10:04:32)Kevlille a écrit : PS: pas bien compris ton histoire de WAN RJ45 1Mb/s

Une image vaut mieux qu'un long discours. J'utilise le premier port (le blanc en 10GBb/s) et l'IP est indiquée sur l'autre (le vert en 1GB/s)

[Image: Annotation-2021-04-14-135102.png]
Répondre
#48
Effectivement n'a pas la même chose:

   

Es-tu branché comme moi sur l'UDMP ?

Port 10: SFP+ venant de la Freebox (10GbE)
Port 11: SFP+ vers port SFP du switch (1GbE)

   
Répondre
#49
(14/04/2021, 14:02:44)Kevlille a écrit : Es-tu branché comme moi sur l'UDMP ?

Port 10: SFP+ venant de la Freebox (10GbE)
Port 11: SFP+ vers port SFP du switch (1GbE)

Pareil (à la différence près que ma connexion UDM-Pro - Switch est aussi en 10Gb/s puisque mon switch a des ports SFP+)

C'est bizarre que de ton côté ça n'affiche qu'une seule ligne WAN. Moi, j'en ai deux : un WAN2 (que j'ai renommé en WAN Free, correspondant au port 10=WAN2 en SFP+, sur lequel ma box est branchée) et WAN1 (correspondant au port 9=WAN1 en RJ45 qui est libre).
Et il semble que les deux se mélangent un peu. Nota : j'ai cru un moment que la couleur du rond correspondait à la vitesse (jaune : 100, vert 1000, blanc 10000) mais ça correspond sans doute plutôt à l'état du port (vert : actif, blanc : inactif). Et c'est encore plus bizarre car le port que je n'utilise pas est vert, alors que celui que j'utilise est blanc...

Je précise un point qui pourrait expliquer ce phénomène bizarre : Pendant quelques temps (le temps de recevoir un câble DAC SFP-SFP suffisamment long), j'ai relié la box au routeur avec un câble en RJ45, donc branché sur le port WAN en RJ45 (Port 9 WAN1)... Et j'ai l'impression que le routeur a plus ou moins gardé ça en mémoire...

Si je retire le mode d'affichage "New User Interface", c'est présenté différemment (les WAN sont avec les LAN, pas d'IP affichée) du coup l'affichage bizarre disparaît.
Répondre
#50
Je n'ai jamais utilisé d'UDM pro, mais sur USG ou USG pro, il ne faut jamais connecter WAN et WAN 2 ensemble il sont fait pour faire principalement du fail over mais de deux connexion distinctes
Ce qui m'intrigue sur vos connexions, c'est l'IP Wan, en effet lorsque la box ou le modem est en bridge, normalement l'adresse IP publique devrait se retrouver au niveau de la patte Wan de l'appareil UNIFI. Je viens de vérifier pour en être sûr, chez mes clients qui ont un modem bridgé, l'IP publique est au niveau du WAN de l'USG pro, mais c'est nous qui configurons cette IP à partir du serveur de gestion UNIFI (l'UDM pro dans votre cas, ou par une cloud Key)
Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)