[SOHO] Aide pfSense
-
Pour la liaison Freebox Server/Player comment correctement implémenter dans pfSense le VLAN 100 comme expliqué ici:
https://guillaume.vaillant.me/?p=256
-
…
La partie compliquée c'est la gestion de l'activation/désactivation des règles en fonction d'un calendrier.
Maintenant je pense que je suis en mesure d'activer les règles par automatisation de l'interface d'admin (je le fais tous les mois sur les tests d'applications qu'on fait pour nos clients...) mais bon c'est un peu du bricolage.
...
Pour ce qui est de la gestion des règles, je pense qu'il est suffisant d'utiliser le modèle de Rule de pfSense, le Layer 7 filtering est super interessant mais surtout quand on veut filtrer certain protocoles. (potentiellement dans des cas de multeplexing ;)).
Dans notre cas on a trois états: tout fermé, tout ouvert, et ports HTTP/HTTPS ouverts.Bon après un peu de lecture de code et de compréhension des mécaniques de pfSense il est assez facile de rajouter des pages PHP exposant des services d'API REST pour activer/desactiver des règles.
De là on peut utiliser un logique externe pour la planification des horaires.
J'ai un premier proto fonctionnel que je publierai dès que j'aurai implémenté les niveaux de sécurité suffisants pour que ça ne soit pas appelable par n'importe qui et de n'importe où! (si je ne suis pas sys admin, je suis aussi responsable des formations pour les développeurs autour de la sécurité d'une grande ESN, donc la sécurité est une exigence que je connais bien) -
Du côté entrant,
Les ports 80/443 sont actuellement utilisés et routés vers un serveur Apache httpd qui sert différents domaines.
Comment mettre en place un système qui me permettrait d'accéder des services chez moi à partir d'un site ne permettant que les ports 80/443 sans faire un multiplexing ou en passant par un noeud intermédiaire? (à la TeamViewer)Là aussi j'ai trouvé une réponse qui me semble tout particulièrement sécurisée.
Elle répond totalement au besoin et permet au particulier comme moi qui n'ont qu'une IP public de multiplexé les protocoles sécurisés sur un seul port.La base du travail est excellemment expliquée ici:
http://loredo.me/post/116633549315/geeking-out-with-haproxy-on-pfsense-the-ultimateJe la traduirai en langage pour néophyte dans le wiki dont je parlai.
-
je publierai dès que j'aurai implémenté les niveaux de sécurité suffisants pour que ça ne soit pas appelable par n'importe qui et de n'importe où!
Qu'avez vous prévu pour authentifier les parties prenantes ?
Nous sommes sur un exercice à haut niveau de risque …Parce que rien que là : https://blog.pfsense.org/?cat=57
-
Pour la liaison Freebox Server/Player comment correctement implémenter dans pfSense le VLAN 100 comme expliqué ici:
https://guillaume.vaillant.me/?p=256
Là aussi j'ai compris mon problème j'avais bien créé les interfaces VLAN et bridge nécessaire mais je n'avais pas capté que sans règles de translation (NAT) rien ne passait.
Donc maintenant ça passe.
J'ai encore des comportements bizarres, mais je devrais régler ça.Stay tuned.
-
je publierai dès que j'aurai implémenté les niveaux de sécurité suffisants pour que ça ne soit pas appelable par n'importe qui et de n'importe où!
Qu'avez vous prévu pour authentifier les parties prenantes ?
Nous sommes sur un exercice à haut niveau de risque …Les API REST de controle d'outils tels que les firewall, les outils de supervision ou APM se généralisent, c'est d'ailleurs un sujet qui a été évoqué dans la roadmap pour la V3 (on ne sait pas trop on ça en est d'ailleurs, toujours rien sur Github ). Il y a déjà le système existant XMLRPC qui me semblent un peu sous-sécurisé.
Dans mon cas je l'envisage dans une approche SoHo, donc déjà une limitation d'accès à travers les interfaces LAN et pas WAN, conjuguée à une mécanique de type OAUTH2. -
Dans mon cas je l'envisage dans une approche SoHo, donc déjà une limitation d'accès à travers les interfaces LAN et pas WAN
Ce qui exclu à mon sens un usage un peu sérieux en entreprise. A mon sens ce trafic devrait relever, pour un usage professionnel, d'une interface dédiée a minima au trafic d'administration exclusivement.
La solution en question est par ailleurs assez sollicitée et la robustesse semble faire défaut pour le moment :
http://www.developpez.com/actu/94736/Des-chercheurs-decouvrent-deux-failles-dans-le-protocole-OAuth-2-0-qui-peuvent-conduire-a-des-attaques-de-type-MITM/
Pour un usage soho donc sécurité limitée. -
Dans mon cas je l'envisage dans une approche SoHo, donc déjà une limitation d'accès à travers les interfaces LAN et pas WAN
Ce qui exclu à mon sens un usage un peu sérieux en entreprise. A mon sens ce trafic devrait relever, pour un usage professionnel, d'une interface dédiée a minima au trafic d'administration exclusivement.
La solution en question est par ailleurs assez sollicitée et la robustesse semble faire défaut pour le moment :
http://www.developpez.com/actu/94736/Des-chercheurs-decouvrent-deux-failles-dans-le-protocole-OAuth-2-0-qui-peuvent-conduire-a-des-attaques-de-type-MITM/
Pour un usage soho donc sécurité limitée.Des failles on en trouve tous les jours, plus ou moins grosses. La plus grosse étant souvent l'homme lui même. Mais c'est un autre sujet.
La limitation sur une interface dédiée me semble effectivement une bonne option (de toute façon j'espère faire quelque chose paramétrable).
De plus comme je l'expliquai au dessus, le but d'activer ce mécanisme c'est de substituer à la "relative" pauvreté du scheduler de pfSense dans le cas des règles sortantes.
J'ai d'ailleurs implémenté un système où seules les règles ayant #! au début de la description sont activables/dés-activables de façon programmatique. Ce qui protège le reste des règles. -
Au moins vous semblez avoir conscience des problèmes. Ce qui n'est finalement pas si courant chez les développeurs. Encore moins sur le forum où beaucoup pense qu'il n'y a aucun problème à modifier le code de Pfsense ou à ajouter des pages en php. C'est tout pour moi.
-
Au moins vous semblez avoir conscience des problèmes. Ce qui n'est finalement pas si courant chez les développeurs. Encore moins sur le forum où beaucoup pense qu'il n'y a aucun problème à modifier le code de Pfsense ou à ajouter des pages en php. C'est tout pour moi.
ca serait dommage si ce n'était pas le cas, étant le responsable de la formation "Sécurité et Développements" dans une boite de 30000 personnes, je pense qu'il y aurait quelques inquiétudes à avoir ;)
Mais c'est clair qu'on a du boulot dans la sensibilisation et la formation des gens aux gestes de sécurité les plus simples. -
Bonjour,
Je me permets de me joindre à cette intéressant discussion en espérant qu'elle est toujours active. J'ai également installé un pfsense à titre privé essentiellement pour du control parental. Je vous ferai un peu plus tard un schéma de mon installation.
J'ai atteinds un de mes premiers but, à savoir limiter l'usage des device de mes ados sur le net à certaine plages horaires.
Ma première question est la suivante : avez vous trouvé une solution pour pouvoir autoriser ce type de connection pendant un certains temps ( x heures par semaine ou par jour ) plutot que sur des plages horaires qui sont très difficiles à gérer ?
Merci,