Parefeu Ipfire et reseau parsonnel

Vous souhaitez développer un projet mais vous manquez de temps, de compétences ? Présentez votre projet ici pour trouver des participants...

Modérateur : Francois

Répondre
Thierry51170
Messages : 3
Enregistré le : lun. 4 janv. 2021 10:31

Parefeu Ipfire et reseau parsonnel

Message par Thierry51170 » lun. 4 janv. 2021 13:14

Bonjour à tous voilà mon projet en cours.

Installation d'un parefeu Ipfire sur mon réseau personnel composé de :
1 - Téléphone + télévision + box Tv en RJ45 et vidéo surveillance avec DVR 4 caméras en RJ45

2 - Domotique avec une tablette linux avec logiciel DOMOTICZ en cours j'attends ma nouvelle tablette
-> équipements : interrupteurs et prises connectés , portail et garage également connectés en wifi

3 - Ordinateurs et téléphones en Wifi

Le projet est de mettre 3 adressages IP différents pour chaque fonction : Réseau RJ45 pour le point 1 Wifi pour les points 2 et 3

Que pensez vous de ce projet et êtes vous prêt à me donner un coup de pouce.

je voudrais joindre un plan de mon architecture comment faire SVP merci

je répondrais à toutes vos questions sans problèmes

dans l'attente de vous lire, merci

Thierry

Artemus24
Raspinaute
Messages : 1077
Enregistré le : ven. 15 sept. 2017 19:15

Re: Parefeu Ipfire et reseau parsonnel

Message par Artemus24 » lun. 4 janv. 2021 18:43

Salut Thierry.

Un pare-feu, oui, mais pour quel but ?

Normalement, vous avez déjà un NAT dans votre box.
Il suffit d'interdire au flux entrant de ce rendre dans votre réseau local.
Je constate que vous désirez faire de la vidéo surveillance.
Vous choisissez un port de destination dans votre réseau local et vous laissez le flux entrant se rendre vers ce port.

Tant que vos flux restent en local, vous n'avez besoin de rien d'autre.
S'ils viennent de l'extérieur, vous avez alors un problème de sécurité.

Si vous recherchez de l'aide pour utiliser ipfire, je ne connais pas ce logiciel et j'utilise iptable dans mes raspbrry.

@+
RPI4B/8GB + Argon FanHAt
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32

Thierry51170
Messages : 3
Enregistré le : lun. 4 janv. 2021 10:31

Re: Parefeu Ipfire et reseau parsonnel

Message par Thierry51170 » mar. 5 janv. 2021 13:56

Bonjour Artemus24,

merci pour la réponse, oui en effet j'ai bien du NAT sur ma box, mais la mise en place du firewall est de bien sécurisé mon domicile en séparant les différents réseaux utilisés " Box téléphonie télévision vidéosurveillance / domotique / pc et mobile"

ma vidéo surveillance est déjà en place depuis 2 ans .

je suis très sécurité dans le domaine de l'informatique, au vu des attaques et des piratages de données.

depuis que l'informatique est arrivé toutes nos données personnelles et professionnelles sont stockés sur des pc ou des Nas de stockages je ne souhaites pas un jour que tous disparaissent à causes d'une erreur de clic sur un mail ou autres :)

C'est pour cela que j'ai lancé ce projet .

J'ai aussi mis mon domicile sous domotique et qui passe actuellement par différents serveurs extérieur pour la gérer de l'extérieur , j'ai commander une nouvelle tablette afin de mettre tous sur un réseau privé pour que je puisse la gérer moi même sous DOMOTICZ .

Je ne connais pas IPTABLE donc je vais faire quelles recherche afin d'en apprendre plus et éventuellement en faire une modification de mon projet.

voilà je reste à votre écoute.

merci

Artemus24
Raspinaute
Messages : 1077
Enregistré le : ven. 15 sept. 2017 19:15

Re: Parefeu Ipfire et reseau parsonnel

Message par Artemus24 » mer. 6 janv. 2021 17:46

Salut thierry.

Oui, j'ai bien compris que votre démarche est sécuritaire.
Mais il ne faut pas devenir paranoïaque, non plus.

Je n'ai jamais eu de problème de piratage ou de virus ou quoi que ce soit d'autre depuis que je pratique l'informatique.
Pourquoi ? Parce qu'il y a un minimum à faire pour ne pas rencontrer de grave problème.

1) au niveau de votre NAT, fermez tous les ports que vous n'utilisez pas.
2) Un VPN est une faille de sécurité.
3) ne téléchargez pas n'import quoi.
4) ne cliquez pas sur les pièces jointes de vos email, si vous ne connaissez pas l'expéditeur.

Dans la plupart des cas, ce sont des conneries dont je suis responsable et j'ai su comment les réparer.
Thierry51170 a écrit :je suis très sécurité dans le domaine de l'informatique, au vu des attaques et des piratages de données.
Avez-vous déjà été piraté ? si oui, comment ?
Thierry51170 a écrit :depuis que l'informatique est arrivé toutes nos données personnelles et professionnelles sont stockés sur des pc ou des Nas de stockages
Ce n'est pas une bonne idée de stocker dans un NAS qui fonctionne 24/7 des données personnelles critiques.
D'une part, je vous conseille de les placer dans un disque externe, non relié au réseau.
Si vous en avez besoin, Branchez votre disque de données personnelles à votre ordinateur.
Quand c'est fini, vous débranchez votre disque.
Thierry51170 a écrit :je ne souhaites pas un jour que tous disparaissent à causes d'une erreur de clic sur un mail ou autres :)
D'autre part, mais cela ne concerne pas que vos données personnelles, faites des sauvegardes sur d'autres supports que le NAS.
Sans parler du vol de vos données, un simple problème matériel fait que vous pouvez tout perdre.
Pour le NAS, il y a la technologie RAID. Sinon, un simple backup de vos disques externes sur d'autres disques qui seront rangés soigneusement.
Thierry51170 a écrit :C'est pour cela que j'ai lancé ce projet.
Les anti-virus ne servent à rien, sinon à vous couter de l'argent.
La meilleurs façon de protéger votre ordinateur est de ne pas le relier à l'internet, en permanence.
Quand je dis internet, je parle du réseau WAN.
Quand vous ne vous en servez pas, débranchez le !
Thierry51170 a écrit :J'ai aussi mis mon domicile sous domotique et qui passe actuellement par différents serveurs extérieur pour la gérer de l'extérieur
Le domicile sous domotique, oui, pourquoi pas.
Pourquoi passer par plusieurs serveurs extérieur ? Je ne comprends pas trop l'utilisé de procéder ainsi.

Créez un serveur web dans votre réseau local.
Au niveau du NAT, vous autorisez que le port 443.
Vous utilisez un certificat CA et serveur, même auto-signé, où pourquoi pas let's encrypt dont la durée est de 3 mois.
Pour accéder depuis l'extérieur, utilisez une tablette qui sera dédié qu'à cette usage.
Vous aurez votre certificat client dans votre tablette, et vous serez le seul à pouvoir accéder à votre site web, hébergé chez vous.
Aucun risque de piratage, car sans certificat client, l'accès est refusée.
Thierry51170 a écrit :j'ai commander une nouvelle tablette afin de mettre tous sur un réseau privé pour que je puisse la gérer moi même sous DOMOTICZ .
Bonne idée.

Rien ne vous empêche, en plus des certificats, de mettre un mot de passe pour accéder à votre domotique, en fonction des personnes que vous autoriser à le faire.
Thierry51170 a écrit :Je ne connais pas IPTABLE donc je vais faire quelles recherche afin d'en apprendre plus et éventuellement en faire une modification de mon projet.
Après le NAT, qui autorise de laisser passer tel ou tel flux vers tel ou tel périphérique, la deuxième couche sécuritaire est le pare-feu de votr ordinateur.
Sous Linux, c'est iptables pour l'ipv4 et ip6tables pour l'ipv6.
Cela se traduit par des autorisations sur des flux entrants, ainsi que des flux sortants.

Pourquoi un virus peut agir sur votre ordinateur ?
La plupart du temps, vous êtes protégés du flux entrant, mais pas du flux sortant.
C'est le cas de la configuration du pare-feu sous windows.
Vous cliquez sur une pièce jointe d'un email, et un logiciel (le virus) s'installe dans votre ordinateur, sans que vous en ayez connaissance.
Si vous êtes protégés sur le flux sortant, votre virus est inactif.
Je veux dire qu'il va faire des tentatives de connexions vers l'extérieur, mais ne sera pas autorisé à le faire.
Si vous installez une surveillance de ce qui se passe dans votre ordinateur, pour pourrez remarquer cet intrus par son activité anormale.

N'installez pas un logiciel qui vous promet d'augmenter la sécurité de votre réseau.
C'est comme si vous demandiez à votre serrurier de vous faire un jeu de clef de votre coffre fort.
A partir du moment qu'il connait l'usage de ces clefs, rien ne l'empêche d'en faire un double.

Le mieux est d'utiliser linux qui possède des outils natifs.
Je sais, il faut apprendre à s'en servir, ce qui n'est pas toujours à la portée de tout le monde, pour augmenter sa sécurité.
Mais quand sa fonctionne, vous n'avez plus rien à craindre.

Par exemple, vous parlez de votre téléphone et de votre télévision.
A vrai dire, je ne sais pas trop quoi faire pour mettre en place une sécurité.
Mais alors comment résoudre ce problème ?

Vous vous procurez un routeur sans modem, que vous branchez sur votre box.
Sur la box, vous fermez tous les ports que vous n'utilisez pas.
Vous constatez alors que vous avez deux réseaux, l'un qui sera celui de votre FAI, et l'autre le votre.
Je ne vois pas trop ce que l'on peut pirater sur votre ligne téléphonique sur votre télévision.

Les redirections à mettre en place ne sont pas très compliquées à faire.
Depuis l'extérieur, votre pirate n'est pas censé savoir comment est configuré votre réseau local.
Tout ce qui concerne la domotique, elle reste local car non accessible directement depuis l'extérieur.
Par contre, le pilotage se fera à partir de votre site web local.

Il y a encore un autre niveau sécuritaire, que j'utilise avec putty.
C'est d'utiliser une clef SSL qui est stockée dans mon ordinateur, et qui me permet de m'identifier sans mot de passe.
Sans cette clef SSL, je ne peux pas me connecter.

Si vous faites votre pilotage depuis, disons votre entreprise, et que vous ayez une adresse ip fixe, il suffit alors d'interdire toutes les autres adresses ip sauf la votre.

Des astuces, il en existe plein. :D

@+
RPI4B/8GB + Argon FanHAt
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32

Répondre

Retourner vers « Projets »