Conseil pour une configuration personnelle



  • Bonsoir,

    Je suis prêt à me lancer avec pfsense mais j'ai besoin de votre avis éclairé sur la config que j'envisage !

    J'ai 4 machines et j'envisage l'achat d'une 5em pour un de mes enfants (probablement un eeepc sous xandros dont je me sers rarement) :

    • Un microsoft home serveur comme serveur de fichier, backup, accès à distance des fichiers, des photos via serveur web en https.

    • Un PC sous xp qui tourne en permanence (refroidissement passif et SSD) pour les taches un peu longues comme le téléchargement, la gravure etc etc. Je prend le contrôle via le remote desktop d'XP à l'intérieur du réseau comme à l'extérieur.
      Ces deux machines sont sur un LAN gigabyte.

    • 2 "vieux" portables (un sous XP pro et un en édition home) en wifi sur lesquels je surfe uniquement.

    Je cherche maintenant à sécuriser un peu tout ça vis à vis des attaques extérieures mais aussi pour du contrôle parentale.

    J'envisage donc l'achat d'une machine basée sur une carte mère mini-itx intel D201GLY avec 3 ports LAN. Il faut que j'ajoute une carte (un conseil sur la carte?) car j'ai vu que pfsense ne reconnaissait pas le LAN embarqué.
    Le premier LAN sera relié à ma freeboxHD, le lan 2 sera relié à un AP wifi et le 3em au switch gigabyte.

    J'ai des connaissances informatiques mais je ne suis pas un pro, le configuration de pfsense sur une telle architecture n'est-elle pas trop compliquée ?
    Pfsense me permettra-t-il de restreindre l'accès internet de mes enfants à des sites expressément autorisés par moi-même ?
    Que pensez-vous de l'architecture globale de mon réseau ?



  • Personne pour me dire si je vais dans la bonne direction et si je vais pouvoir configurer tout ça en quelques soirées de config et de recherche ???



  • Ce n'est pas que l'on ne veuille pas vous répondre mais les exigences des configurations familiales, en particulier la votre, ne vont pas vraiment dans le sens de la simplicité si l'on veut de la sécurité. Essayons tout de même, vois déciderez ensuite.

    • Un microsoft home serveur comme serveur de fichier, backup, accès à distance des fichiers, des photos via serveur web en https.

    La machine en direct en https c'est déjà "limite". Il faudrait qu'elle soit dans une dmz pour être isolée du reste de votre réseau.
    Idéalement un reverse proxy est souhaitable.

    • 2 "vieux" portables (un sous XP pro et un en édition home) en wifi sur lesquels je surfe uniquement.

    Wifi donc encore une autre zone à créer sur le firewall. WPA2 obligatoire et SSID non broadcasté c'est un strict minimum.

    Le premier LAN sera relié à ma freeboxHD

    Non mettre le freebox en pont connecté à l'interface Wan de Pfsense.

    Pfsense me permettra-t-il de restreindre l'accès internet de mes enfants à des sites expressément autorisés par moi-même ?

    il faut donc un proxy et filtrage d'url. Proxy sur le firewall je ne suis pas fan, c'est le moins que l'on puisse dire.

    Il faut que j'ajoute une carte (un conseil sur la carte?)

    Des cartes serveur Intel. Il y a aussi des modèles à 2 et 4 ports, ce qui réduit les problème de disponibilité de slots.

    remote desktop d'XP à l'intérieur du réseau comme à l'extérieur

    Dispositif dont je ne suis pas très "client", un vpn serait nettement préférable.
    Evidement on peut mettre en place tout cela sans difficulté avec Pfsense. Mais pour un réseau domestique … les moyens nécessaires risquent de vous sembler un peu hors de proportions.



  • Merci pour vos réponses qui m'apportent déjà quelques pistes de réflexions et de recherches.

    J'ai bien conscience de mes lacunes en matières de sécurité, lacunes que j'ai bien l'intention de combler petit à petit.
    Mais pour se faire il me faut une solution flexible et évolutive, j'ai pas l'intention de repartir de zéro avec une autre solution car celle-ci ne répond finalement pas à mes besoins. Je n'ai aussi pas envie de sombrer dans la parano, qui à terme m'obligerai à résilier ma ligne ADSL, je veux juste une protection raisonnable par rapport au gain espéré d'un hackeur eventuel.

    J'ai finalement commandé tout le materiel, une CM intel D201GLY2, une carte réseau quad NIC avec chipset via (reconnue par openbsd) 1go  de ram et enfin un AP wifi N supportant le WPA2, le tout pour moins de 250 euros. à peine plus chére qu'un routeur WIFI haut de gamme.
    Au niveau des sorties LAN, j'aurai donc un WAN, un pour l'AP wifi, une DMZ pour le server et le dernier pour mon XP. Par contre quid des taux de transfert entre le server et le XP en comparaison du simple switch gigabyte actuel ?

    Dans un premier temps, je vais copier la config du routeur NAT de ma freebox, puis m'attaquer au contrôle parental, c'est ça qui me préoccupe le plus. Je vais donc chercher comment on met en place un proxy et un filtre d'URL, si vous n'etes pas partisan de le mettre sur le firewall, est-ce une chose que je peux mettre sur mon home server (qui est en fait un windows server 2003 sans le contrôle de domaine) ?

    Sinon pour le VPN, cela nécessite d'installer un client sur les postes ? c'est un imperatif absolue pour moi, je veux pouvoir me connecter de n'importe quel PC sans installation, éventuellement avec un certificat stocké sur une clé USB pour l'identification, je rêve peut-être là ;-) ce serait tellement simple une petit clé USB à ajouter sur mon trousseau avec mes clés d'apart !



  • Par contre quid des taux de transfert entre le server et le XP en comparaison du simple switch gigabyte actuel ?

    http://www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49
    La question est avez vous vraiment besoin d'une bande passante d'un gigabits/sec ? Rassurez vous (ou le contraire), mais dans votre configuration actuelle, ni votre switch, ni vos machines ne soutiennent ce débit.

    Pour le proxy, installez le sur Pfsense en utilisant le package Squid. Après tout c'est du domestique.

    Pour le vpn, le plus souvent un client est nécessaire. Maintenant on peut faire autrement. On peut tout faire d'ailleurs, question de moyens. Cela dit je ne comprend pas bien le côté "impératif absolu" d'accéder à un Home Server Microsoft qui contiendrait les photos des dernières vacances et les dernières séries de je ne sais quoi, téléchargées je ne sais où.
    Il m'est arrivé, c'est d'alleurs le cas actuellement, de travailler sur des projets où il y a des impératifs absolus et ils sont d'une autre nature. Dans une configuration domestique, je ne comprend pas bien ce qui peut relever de l'impératif absolu. Le plus probable est que vous ayez dissimulé votre demande réel sous ce projet de réseau personnel. Ou bien les mots dépassent la pensée.

    je veux juste une protection raisonnable par rapport au gain espéré d'un hackeur eventuel.

    Ce n'est pas ainsi que se pose le problème. Vous ne pouvez pas préjuger de ce qu'est le gain pour l'agresseur parce que ses motivations peuvent être les plus diverses et pas seulement matérielles. Le problème c'est, pour vous, les conséquences du risque si il se réalise. Il y a deux variables : la probabilité du risque (qui est à définir) et le coût (la gravité) de sa réalisation.

    Pour en revenir à votre quête de sécurité, n'oubliez pas (ou sachez le) que le contrôle du trafic sortant est presque aussi important que celui du trafic entrant. On se focalise le plus souvent sur ce dernier, sans se préoccuper de ce qui sort. C'est une erreur fréquente et grave.



  • Bien sur que ma configuration actuelle ne soutient pas ce débit, ma question était plus pour savoir si par rapport à ma configuration actuelle le débit ne sera pas dramatiquement revue à la baisse, je vais testé donc !

    Si je n'avais que des photos et des mp3, je me poserais pas la question de la sécurité, là je compte y mettre tous mes documents personnels si la sécurité me le permet. Quand à l'installation d'un client, je suis très souvent en déplacement et les seuls PC auxquels j'accède sont des PC professionnels sur lesquels je ne veux (et je ne peux) rien installer de perso.
    Il m'arrive aussi de prendre la main sur le XP pour y lancer un téléchargement ou tout simplement pour retrouver mes favoris firefox, etc.

    Ceci dit votre remarque justifiée me place d'or et déjà dans la catégorie des paranos ;-)
    Je ne sais pas si les réseaux personnels vont commencer à se répandre chez le particulier mais le fait que de plus en plus de documents soient numériques pose forcement à terme un problème de sécurité. Car pour minimiser le risque de perte et faciliter les recherches il faut centraliser, une fois centraliser il faut quand même sécuriser un minimum surtout si l'on veux y accéder depuis n'importe ou.

    Avez-vous des lectures à me conseiller pour acquérir les notions de base en matière de sécurité ?



  • bonjour. je vien de tomber la dessus et good tes dans la meme situation que moi.

    bon chu pas aussi securitaire que toi je doit l'admettre MAIS

    1. j'ai access de partout a mes ordi de ma maison (tout comme tu veux) mais j'utilise OpenVPN, petit logiciel. mais comme tu ne peut pas le faire je recherche presentement une solution.

    2. pour les site internet a bloquer…. le hic ces comme mentionner plus bas. un Proxy et logiciel serait parfait.

    3. classe toi pas dans les parano avant de voir ce que je tente de faire :P

    pour faire une histoire courte d'une longue, j'ai 4 PCC a la maison, 2 routeur et 1 modem. j'ai installer mon PFSense juste apres mon modem avant mes 2 router. j'ai mis mes router en Switch (donc DHCP, DNS et autr ces le PFSense qui s'en occupe). j'ai mis une bonne protection sur ce qui entre et sort (firewall bien configurer) et j'ai 2 lien IPSec (entre d'autr PFSense) chez moi.

    P.s. comme mentionner par CCNET ces pas une bonne maniere... je delete donc

    Comme ccnet le mentionne. Remote Desktop ces bon. mais openVPN ces plus fort et plus securitaire. ces un peut plus de taponnage (oui probablement un logiciel de 1.X meg a installer) mais une fois cela fait, tu traine le logiciel et les certifica, config et autre sur ta clé usb. tu arrive en qqn part, install openVPN, place le fichier des cle, active et VOILA, si tu a bien configurer ton PFSense et OpenVPN tu est en communication direct avec ton chez-toi.... ces (avis personnel) plus facile.

    mais bon. si tu veux de l'aide on ferais mieux de regarder cela point par point au lieu de tenter de tout faire en meme temp.

    des site d'aide !!!!!

    http://doc.pfsense.org/index.php/Main_Page

    ces tant qu'a moi une bonne reference !!!!!

    edit : pour openVPN : http://pfsense.nsa.co.il/tutorials/openvpn/pfsense-ovpn.pdf



  • @ICAR:

    Bien sur que ma configuration actuelle ne soutient pas ce débit, ma question était plus pour savoir si par rapport à ma configuration actuelle le débit ne sera pas dramatiquement revue à la baisse, je vais testé donc !

    Ne vous faites pas de soucis. Je peux déjà vous dire que vous ne verrez pas la différence. J'ai des configurations professionnelles avec des dizaines d'utilisateurs actifs simultanément et boulimiques et boulimique de surcroit. Le firewall n'affecte pas le réseau en terme de débit. Sur certains sites il y des switchs Cisco un peu anciens (XL 3500 et XL2900) qui ne sont qu'en 100Mbits, personne ne se plaint.

    Si je n'avais que des photos et des mp3, je me poserais pas la question de la sécurité, là je compte y mettre tous mes documents personnels si la sécurité me le permet. Quand à l'installation d'un client, je suis très souvent en déplacement et les seuls PC auxquels j'accède sont des PC professionnels sur lesquels je ne veux (et je ne peux) rien installer de perso.
    Il m'arrive aussi de prendre la main sur le XP pour y lancer un téléchargement ou tout simplement pour retrouver mes favoris firefox, etc.

    En utilisant des PC d'entreprises, hors de la votre, les seuls flux sortants dont vous pouvez être presque certain de la disponibilité c'est http et https. Ensuite rien n'est certain. Vous pourriez regarder du côté de la solution SSL Explorer. Néanmoins je crains que ce logiciel ait changé de propriétaire. Un bon compromis serait d'acceder à vos infos en https.

    Ceci dit votre remarque justifiée me place d'or et déjà dans la catégorie des paranos ;-)
    Je ne sais pas si les réseaux personnels vont commencer à se répandre chez le particulier mais le fait que de plus en plus de documents soient numériques pose forcement à terme un problème de sécurité. Car pour minimiser le risque de perte et faciliter les recherches il faut centraliser, une fois centraliser il faut quand même sécuriser un minimum surtout si l'on veux y accéder depuis n'importe ou.

    Sécuriser un maximum si l'on souhaite un accès aussi souple que vous le décrivez. Il serait bien que vous vous posiez la question de ce que vous souhaitez réellement par rapport au risque. Vous ne m'avez pas convaincu sur la nécessité absolu de se connecter à la maison pour lancer un téléchargement. Sinon il faut avoir les moyens de ses ambitions et de sa parano.

    Avez-vous des lectures à me conseiller pour acquérir les notions de base en matière de sécurité ?

    Secrets et mensonges. Sécurité numérique dans un monde en réseau par Bruce Schneier. Vous verrez ces questions de sécurité sous un autre jour. Bruce Schneier n'étant "pas tout à fait" n'importe qui.



  • @Daakutenshi:

    dans ton cas ce qui est plate ces que tu a plein de machine differente avec des config tout aussi different. je tenterais de standardiser le tout avant d'entreprendre d'autre chose !!!!. tu a un windows server 2003 mais tu na pas le Domain avec. ca aussi cela te donnerais un avantage. avec un domain tu pourais mieux gerer (via GPO et PFSense) des limite a ton fils.

    bref, comme tu vois il y a tellement de maniere d'y arriver que aucune n'est pas bonne…. mais aucune n'est la meilleur aussi.

    Désolé de vous contredire. je ne partage absolument pas ces deux façons de voir les choses. Elles sont erronées à mon sens. La première parce que les entreprise possèdent un existant auquel il faut s'adapter et le professionnel de la sécurité ne commence pas par remplacer toute les configuration utilisateurs en place. Si c'était une méthode pour aborder la sécurité cela se saurait.
    La seconde est tout aussi inexacte. Il de bonnes solutions, il y en a de mauvaises. Parmi les bonnes solutions on peu discuter de la marques du firewall, mais ce n'est pas le problème majeur. Il y a des lignes directrices qui varient peu pour une situation donnée.



  • @ccnet:

    @Daakutenshi:

    dans ton cas ce qui est plate ces que tu a plein de machine differente avec des config tout aussi different. je tenterais de standardiser le tout avant d'entreprendre d'autre chose !!!!. tu a un windows server 2003 mais tu na pas le Domain avec. ca aussi cela te donnerais un avantage. avec un domain tu pourais mieux gerer (via GPO et PFSense) des limite a ton fils.

    bref, comme tu vois il y a tellement de maniere d'y arriver que aucune n'est pas bonne…. mais aucune n'est la meilleur aussi.

    Désolé de vous contredire. je ne partage absolument pas ces deux façons de voir les choses. Elles sont erronées à mon sens. La première parce que les entreprise possèdent un existant auquel il faut s'adapter et le professionnel de la sécurité ne commence pas par remplacer toute les configuration utilisateurs en place. Si c'était une méthode pour aborder la sécurité cela se saurait.
    La seconde est tout aussi inexacte. Il de bonnes solutions, il y en a de mauvaises. Parmi les bonnes solutions on peu discuter de la marques du firewall, mais ce n'est pas le problème majeur. Il y a des lignes directrices qui varient peu pour une situation donnée.

    non je suis aussi en accort avec toi. je parlais juste a titre personnel (j'ai server 2003 et personnelement je trouvais cela plus simple comme cela)

    dsl !!!



  • Merci pour vos commentaires !

    Oui c'est certain, Serveur 2003 complet ce serait mieux mais bon vu le prix d'une licence tant que j'en ai pas un besoin imperatif je vais investir ailleurs. ;-)

    La nécessite absolue c'est de ne pas avoir de client à installer car je ne veux pas et ne peux pas sur un PC pro.
    Tout le reste, c'est du domaine personnelle donc absolument pas nécessaire mais bien pratique quand même.

    L'accès aux données via HTTPS est une fonctionnalité de base de Home server, c'est donc ce que je fais actuellement le but étant de bloquer tout le reste.

    Bon je vais méditer un peu et revenir donner des nouvelles déjà sur le montage et l'installation de mon Firewall.


Locked