Debutant un peu perdu..



  • Bonjour à tous !

    Je me permets d'ouvrir un Topic car je suis un peux … Perdu dans PfSsense.

    Avec la loi sur le renseignement ... et ce qu'il se passe en ce moment, j'ai décidé d'avoir de la tranquillité chez moi. J'avais tout d'abord pensé à un vpn, puis à OTB d'OVH, mais j'ai désiré me rabattre sur PfSense pour les plusieurs connexions que j'ai.

    Je ne sais pas vers quel(s) howto aller pour en apprendre plus.

    Par ailleurs, de combien a-t'on besoin de ports ethernet pour une utilisation? J'aurais 3 pc + tv notamment .... Merci



  • Pas sûr que pfSense t'apporte la tranquillité que tu attends  :-X

    pfSense est avant tout un pare-feu dont la vocation est de gérer, au moyen de règles les flux réseaux, c'est à dire les communications autorisées de part et d'autre du pare-feu en fonction des adresses source, destination et protocoles mis en jeu.

    Tu compares, dans ton message, cette fonctionnalité avec VPN qui vise à encrypter une communication dans un réseau virtuel privé (d'où cet acronyme) et à OTB qui est, si je comprends bien, un service d’agrégation de bande passante (load balancing et fail-over)

    Je pense que c''est un peu confus pour toi et que déployer un pare-feu sans commencer par comprendre ce que ça fait et comment ça marche va t'apporter plus de problèmes que de solutions.

    Selon ton FAI, il y a des fonctions de pare-feu (quoique souvent très très basiques voire minimalistes) au niveau de ta box.
    Remplacer celles-ci par un "vrai" pare-feu peu être utile à condition de maitriser un minimum sans quoi ta solution sera pire, d'un point de vue sécurité, que si tu n'avais rien fait  ;)

    Ceci étant dit (et j'espère clair), c'est une bonne initiative et je t'invite à lire un peu de littérature sur le principe du pare-feu, à venir discuter ici des aspects qui ne seraient pas clairs et ensuite, mais seulement ensuite, faire un déploiement en fonction de tes besoins. Mais au fait quels sont-ils ?  ;)



  • Merci pour ta réponse !

    En te lisant, il y a des choses dont j'ai écrit qui ne collent pas en effet. OTB a par ailleurs la vocation d'un service d'encryption d'après ce que j'ai pu comprendre.

    Ce que je cherche c'est la sécurité sur Internet, que mes données/Ip ne trainent pas partout, avec une protection de mes échanges. Après si vous avez quelques liens pour potasser les pare-feu, et tout ce qui est lié, je suis volontiers preneur :)

    Par ailleurs, pour les ports ethernets que comprendre la dedans? ^^



  • Sujet intéressant mais loin de pfSense.

    @setsuneh:

    En te lisant, il y a des choses dont j'ai écrit qui ne collent pas en effet. OTB a par ailleurs la vocation d'un service d'encryption d'après ce que j'ai pu comprendre.

    Encryptage d'où à où ?
    Depuis le boitier OTB local jusqu'à l'équipement chez OVH. Mais ensuite ?

    Ce que je cherche c'est la sécurité sur Internet,
    (1) que mes données/Ip ne trainent pas partout,
    (2) avec une protection de mes échanges.

    Ces 2 aspects sont différents.

    En commençant par le plus simple (en apparence): protection des échanges

    Le bon sens implique que tu n'utilises que des services encryptés, donc SSL ou équivalent.

    C'est ce que propose par exemple un tunnel VPN. Mais attention, il faut bien comprendre que le tunnel s'arrête au serveur VPN.
    un serveur HTTPS garanti (relativement) un encryptage de bout en bout.
    Idem pour le mail avec ESMTP mais le mail que tu envoies n'est pas nécessairement stocké sur le MTA cible (c'est même rarement le cas), d'où la nécessité, si tu veux vraiment que tes données soient masquées sauf pour le destinataire, d'encrypter le contenu du mail (S/MIME)

    Comme tu commences sans doute à le percevoir, la théorie est simple mais la mise en œuvre compliquée et variable selon les protocoles.

    le point suivant, "masquage de tes données IP" est quand à lui, bien plus complexe qu'il y parait.
    Si les pelures d’ognons ne te font pas pleurer, c'est une ébauche de solution mais c'est très lent et difficilement utilisable pour d'autres services que HTTP.
    De plus, la protection n'est que partielle et pas infaillible  :-X

    L'utilisation d'un VPN au travers d'un fournisseur très soigneusement choisi peut être une solution, elle aussi partielle mais efficace.

    Dans les deux cas, une utilisation au quotidien, si tu es vraiment paranoïaque, est extrêmement difficile car tu ne peux pratiquement rien faire (le VPN étant quand même beaucoup plus rapide). Il faut absolument bloquer tout ce qui peut exécuter un quelconque code localement (comme du Java) car c'est un moyen de récupérer des infos sur ton IP.

    Il existe des solutions efficaces (par exemple Whomix) mais qui sortent complètement du cadre de ce forum  et d'une utilisation "normale" d'internet :-X

    Tous ces points sont relatif à un poste individuel.
    Pour l'infrastructure avec par exemple un pfSense au milieu qui fournirait ce type de service à plusieurs PC, tu peux oublier.
    En mode "best effort", connecte pfSense à un provider VPN et bloque tout ce qui n'est pas "SSL" mais ça reste partiel.



  • A vous lire on comprend bien que vous êtes perdu.

    Ce que je cherche c'est la sécurité sur Internet, que mes données/Ip ne trainent pas partout, avec une protection de mes échanges.

    Pour abonder avec ce qui précède. Dans un échange il faut être deux. Et pour que cet échange reste confidentiel (c'est votre idée a priori), il est indispensable que les deux personnes soit d'accord sur une même façon de faire pour garantir cette confidentialité (qui est loin d'être les seul problème). Prenant un exemple simple et concret. Si le site que vous souhaitez visiter ne propose pas https, vous ne pouvez pas l'y forcer. Vos échanges circulent en clair.
    Maintenant vous passez par un fournisseur de solutions quelconques (je laisse les technos de côté, vous ne les maitrisez pas,  donccela ne vous apporteras rien) : le site de destination échange toujours en clair. M^me si vous protéger une partie du trajet de vos données et cela n’empêchera pas le site de récupérer tout en tas de données vous concernant.

    service d'encryption

    Service de chiffrement. Le français convient très bien.
    Il faut bien comprendre que la sécurité sur Internet n’existe pas, ou que de façon très relative. Les gens qui ont un fort besoin de sécurité ne connecte pas leur infrastructure sensible à Internet. Je vous laisse en tirer les conséquence.
    Au fait vous avez quoi comme box ?
    Comment croyez vous que se font les mises à jour de cette box ?



  • @chris4916:

    Encryptage d'où à où ?
    Depuis le boitier OTB local jusqu'à l'équipement chez OVH. Mais ensuite ?

    Ensuite les données sont en clairs justement ce qui est aussi un bémol à ce futur service proposé. A mon avis, en dehors des entreprises, l'OTB demeure pas très très intéressante..

    Ce que je cherche c'est la sécurité sur Internet,
    (1) que mes données/Ip ne trainent pas partout,
    (2) avec une protection de mes échanges.

    Ces 2 aspects sont différents.

    En commençant par le plus simple (en apparence): protection des échanges

    Le bon sens implique que tu n'utilises que des services encryptés, donc SSL ou équivalent.

    C'est ce que propose par exemple un tunnel VPN. Mais attention, il faut bien comprendre que le tunnel s'arrête au serveur VPN.
    un serveur HTTPS garanti (relativement) un encryptage de bout en bout.
    Idem pour le mail avec ESMTP mais le mail que tu envoies n'est pas nécessairement stocké sur le MTA cible (c'est même rarement le cas), d'où la nécessité, si tu veux vraiment que tes données soient masquées sauf pour le destinataire, d'encrypter le contenu du mail (S/MIME)

    Pour les mails, justement je pensais à l'utilisation d'Enigmail. Il faut aussi dire qu'un mail est comme une lettre postale par l'intermédiaire de son entête [Timbre -> IP].

    Comme tu commences sans doute à le percevoir, la théorie est simple mais la mise en œuvre compliquée et variable selon les protocoles.

    le point suivant, "masquage de tes données IP" est quand à lui, bien plus complexe qu'il y parait.
    Si les pelures d’ognons ne te font pas pleurer, c'est une ébauche de solution mais c'est très lent et difficilement utilisable pour d'autres services que HTTP.
    De plus, la protection n'est que partielle et pas infaillible  :-X

    L'utilisation d'un VPN au travers d'un fournisseur très soigneusement choisi peut être une solution, elle aussi partielle mais efficace.

    Dans les deux cas, une utilisation au quotidien, si tu es vraiment paranoïaque, est extrêmement difficile car tu ne peux pratiquement rien faire (le VPN étant quand même beaucoup plus rapide). Il faut absolument bloquer tout ce qui peut exécuter un quelconque code localement (comme du Java) car c'est un moyen de récupérer des infos sur ton IP.

    Il existe des solutions efficaces (par exemple Whomix) mais qui sortent complètement du cadre de ce forum  et d'une utilisation "normale" d'internet :-X

    Tous ces points sont relatif à un poste individuel.
    Pour l'infrastructure avec par exemple un pfSense au milieu qui fournirait ce type de service à plusieurs PC, tu peux oublier.
    En mode "best effort", connecte pfSense à un provider VPN et bloque tout ce qui n'est pas "SSL" mais ça reste partiel.

    Donc aucun intérêt alors pour l'utiliser? Alors dans quel cas utiliser PfSense alors? Je suis paranoïaque sur certaines choses, mais je suis conscient que la sécurité totale, comme le filtrage relèvent de l'Utopie. Pour le moment j'utilise/utilisais un VPN basé à Prague, histoire d'être un poil plus serein.
    Je ne suis pas un terroriste, loin de la… Je veux juste ma tranquillité..

    @ccnet:

    A vous lire on comprend bien que vous êtes perdu.

    Ce que je cherche c'est la sécurité sur Internet, que mes données/Ip ne trainent pas partout, avec une protection de mes échanges.

    Pour abonder avec ce qui précède. Dans un échange il faut être deux. Et pour que cet échange reste confidentiel (c'est votre idée a priori), il est indispensable que les deux personnes soit d'accord sur une même façon de faire pour garantir cette confidentialité (qui est loin d'être les seul problème). Prenant un exemple simple et concret. Si le site que vous souhaitez visiter ne propose pas https, vous ne pouvez pas l'y forcer. Vos échanges circulent en clair.
    Maintenant vous passez par un fournisseur de solutions quelconques (je laisse les technos de côté, vous ne les maitrisez pas,  donccela ne vous apporteras rien) : le site de destination échange toujours en clair. M^me si vous protéger une partie du trajet de vos données et cela n’empêchera pas le site de récupérer tout en tas de données vous concernant.

    Les fameuses "techno" moi je veux bien apprendre justement.

    service d'encryption

    Service de chiffrement. Le français convient très bien.
    Il faut bien comprendre que la sécurité sur Internet n’existe pas, ou que de façon très relative. Les gens qui ont un fort besoin de sécurité ne connecte pas leur infrastructure sensible à Internet. Je vous laisse en tirer les conséquence.
    Au fait vous avez quoi comme box ?
    Comment croyez vous que se font les mises à jour de cette box ?

    Perso pour la Box, en plus d'une année je pense pas en avoir faites. Ou bien elles sont automatiques, mais en tout cas aucun souvenir de cela.
    J'ai une BOX NEUF SFR [La blanche].



  • @setsuneh:

    Pour les mails, justement je pensais à l'utilisation d'Enigmail. Il faut aussi dire qu'un mail est comme une lettre postale par l'intermédiaire de son entête [Timbre -> IP].

    Tu te focalises sur l'IP mais un service comme Protonmail (pour te parler d'un truc que tu as déjà regardé  ;)) ou n'importe quel web mail aura l'adresse IP du serveur de mail, pas la tienne.
    Je ne dis pas que c'est un bon choix, je dis que l'IP n'est pas si critique que ça.

    Donc aucun intérêt alors pour l'utiliser? Alors dans quel cas utiliser PfSense alors? Je suis paranoïaque sur certaines choses, mais je suis conscient que la sécurité totale, comme le filtrage relèvent de l'Utopie. Pour le moment j'utilise/utilisais un VPN basé à Prague, histoire d'être un poil plus serein.
    Je ne suis pas un terroriste, loin de la… Je veux juste ma tranquillité..

    Le commun des mortels n'est pas impacté par la divulgation de son adresse IP.
    Ceux qui y font attention sont, comme les gens ou les programmes qui ont de bonnes raisons de vouloir se cacher.

    • les terroristes comme tu le cites mais aussi ceux qui luttent contre, les espions  ;D et les contres-espions  8) ;D  les hackers etc…
      (en son temps, le (?) chevalier d'Eon aurait été content d'avoir un anonymizer d'IP  :D :D :P)

    Si ta crainte vient de commentaires que tu pourrais mettre sur des réseaux sociaux et qui permettraient de remonter à toi via ton IP:

    • c'est trop tard sauf à changer d'IP
    • un VPN suffit si ton fournisseur est "fiable" et que tu accèdes depuis une machine sécurisée (ce qui n'est pas facile)

    A quoi va te servir alors un pare-feu ?

    • à contrôler les flux entrants (si tu as des ports ouverts et des services hébergés chez toi)
    • à contrôler les flux sortants (mais attention, de plus en plus de choses passent via HTTP)

    Les fameuses "techno" moi je veux bien apprendre justement.

    Pas ici  ;)
    Sur le forum pfSense, on ne va discuter que, principalement, de pfSense et services associés.

    Perso pour la Box, en plus d'une année je pense pas en avoir faites. Ou bien elles sont automatiques, mais en tout cas aucun souvenir de cela.
    J'ai une BOX NEUF SFR [La blanche].

    Ton FAI peut bien sûr accéder facilement à ta box et, si tu ne fais rien, au réseau qui est derrière, donc ton (tes) PC



  • Il faut bien comprendre que votre FAI possède un accès root sur la box, et cela sans que vous le sachiez nécessairement.
    Quelque soit le service de messagerie que vous utilisez, si vous ne maitrisez pas la chaine de bout en bout (ce qui est impossible puisque vous ne pouvez pas préjuger du système du destinataire), vous êtes dans la même situation que pour le scénario http / https.
    Enigmail ca ne marche que si vos correspondants l'utilisent aussi.

    Les fameuses "techno" moi je veux bien apprendre justement.

    Commençons par les bases indispensables : http://www.amazon.fr/TCP-ILLUSTRE-Volume-Les-protocoles/dp/2711786390
    Contrairement à ce que le titre peut laisser ce n'est pas illustré du tout. Mais c'est un excellent livre.
    Puis vous avez l'excellent Bruce Schneier : http://www.amazon.fr/Secrets-mensonges-Sécurité-numérique-réseau/dp/2711786846/ref=sr_1_3?s=books&ie=UTF8&qid=1448384479&sr=1-3&keywords=bruce+schneier
    et (là çà se complique)
    http://www.amazon.fr/Sécurité-linformation-systèmes-Cryptographie-pratique/dp/2711748200/ref=sr_1_2?s=books&ie=UTF8&qid=1448384479&sr=1-2&keywords=bruce+schneier
    Et bien sur les publications de l'Anssi, du clusif …. Liste non limitative.



  • @setsuneh:

    Par ailleurs, de combien a-t'on besoin de ports ethernet pour une utilisation? J'aurais 3 pc + tv notamment …. Merci

    Le minimum, c'est 2 ports:

    • un port WAN (celui que se connecte à ta box)
    • un port LAN (auquel tu connectes un switch qui va accueillir tes machines

    Si tu veux héberger des services (comme un serveur web par exemple  ;)), il te faut idéalement un port supplémentaire pour gérer une DMZ sur laquelle tu va déployer cette machine (et donc un switch supplémentaire si tu as plusieurs machines)


Log in to reply