17/07/2020, 20:13:09
(17/07/2020, 10:29:05)Woofy a écrit : Non tu te trompes.
Je vois plutôt le réseau bureautique (PC / imprimantes) comme non sécurisé (bon désolé je reprends les termes que j'utilises d'habitude, je vous laisserais faire la conversion pour le résidentiel).
Pour le Wifi, le soucis est que pour ton réseau Wifi interne il faudra lui donner les accès via la config firewall.
Oui, donner le strict minimum.
Si tu veux avoir les mêmes droits sur ton Wifi interne que sur ton réseau bureautique. Donc tu vas devoir ouvrir comme un porc, ce qui a peu d'intérêt niveau sécurité.
Pas du tout, tout l'intérêt est de limiter au strict minimum, et c'est là aussi l'intérêt du 802.1x.
C'est complexifier l'administration pour n'apporter que très peu côté sécurité.
Tu ne donnes aucun droit à une machine, tu authentifies une machine, puis un user.
Si tu traites du confidentiel défense ou du diffusion restreinte on en reparle,
Si tu veux en parler, la réglementation actuelle pour le DR est beaucoup trop laxiste. Et le CD aussi d'ailleurs.
mais pour du résidentiel bateau (surfer sur Facebook, Youporn et le reste d'Internet, jouer à des jeux en ligne ou pas, consulter ses comptes bancaires en ligne, faire ses papiers, lire ses mails, écrire l'exposé de son ado, et l'imprimer, ...) tu n'as pas besoin d'une sécurité digne d'une base militaire top secrète à la StarGate.
Oui, le wifi est plus exposé que ton réseau filaire car on n'a pas la protection physique offerte par ta porte d'entrée. Mais à ma connaissance le WPA2 n'est pas encore cassé,
Il semble que tes connaissances ont un paquet d'années de retard.
et reste largement suffisant pour une protection d'un réseau résidentiel. Ou même pour une TPE ou une petite PME.
Pas à mon goût (et en TPE/PME le wifi devrait être interdit).
L'investissement dans une authentification 802.1X se justifie lorsque tu as déjà plusieurs dizaines de personnes qui se connectent au Wifi.
Quel investissement ? Le temps ? Parce que c'est le seul que je vois.
Mais dans ce cas, si tu es une entreprise suffisamment importante, investir dans un WIPS, dans des collecteurs et des points d'accès qui gèrent l'authentification radius devient indispensable (ou couper le Wifi, je l'ai vu également), mais il ne faut pas s'arrêter là et mettre en place de l'authentification forte, du chiffrement sur tes postes, tes serveurs, ...
Pourquoi encore investir ? On fait tout déjà très bien dans l'open source et en plus libre à toi d'auditer le code
Chiffrer tous les storages, c'est une base, pas une feature de sécu.
Pour du résidentiel là on sort quand même le marteau pilon pour écraser une mouche. Tu as quand même plus de chances de te prendre un virus des années 90 en ouvrant le mail de tonton Gaston avec ses blagues powerpoint, ou un ransomware en installant le dernier crack pour Office 2021 ou GTA VI téléchargé sur un réseau chelou que quelqu'un vienne à côté de chez toi et s'amuse à casser ton Wifi pour surfer tranquille via ton Internet ou dérober tes photos de vacances pour te faire chanter.
Tu ne prends surtout pas en compte qu'à partir du moment où ta passerelle KNX/IP est accessible via un wifi, n'importe qui pourra ouvrir tes volets quand il le voudra, péter une fenêtre, voire ouvrir la porte dans les pires cas. On a 116000 cambriolages par an en France. Et c'est comme les voitures, plus c'est accessibles (et sans traces) et plus on y porte d'intérêt.
Mes réponses en bleu