Sécuriser son réseau local

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Sécuriser son réseau local

SH4PO

Salut salut !

J'ai vu pas mal de fois que c'était possible de sécuriser son réseau local "réseau domestique" donc j'aurais voulu savoir "comment" on fait ?

J'ai bien quelques idées à ce sujet, mais je voudrais voir comment vous avez fait.

SH4PO 🙂

ludoz

Salut,

1 firewall potable (exit les firewall de box) me semble le minimum. 1 IDS/IPS si tu as les ressources pour le faire tourner, c'est un plus non négligeable, rajoute à ça un filtrage DNS (pihole ou pfblocker en ajoutant des listes par rapport à ce que tu veux bloquer).

Avec ça tu auras une bonne base et une bonne visibilité sur ce qu'il se passe sur ton réseau.

On peut bien sur aller plus loin en ajoutant un proxy transparent (ou pas) en mode MITM SSL (ou pas).

Pour ma part j'utilise pfsense (firewall, suricata pour IDS et pfblocker pour filtrage DNS). J'ai testé squid en transparent MITM SSL, mais je l'ai abandonné, la plus value était minime (doublon avec pfblocker)

Si tu as des gosses activer le safesearch des moteurs de recherches et de youtube me semble nécessaire (l'activation se fait direct au niveau du dns)

Aerya

+1 pour PFSense (ou OPNsense), je préfère AdGuardHome à Pi-Hole pour le filtrage DNS. Tu t'installes ça à la main ou via Docker sur un vieux PC ou un RPi par exemples.

SH4PO

Merci déjà pour vos réponses !

L'idée est d'avoir une solution "modulaire" pour sécuriser mon réseau perso, et que je pourrais appliquer chez mes parents.

J'avoue que j'ai réfléchi à Docker pour faire la solution, étant assez "instruit' sur Docker, mais le vieux PC fonctionne aussi 🙂

OPNsense est assez cool comme FW, par contre je ne connais pas AdGuardHome !

J'dois avoir un RPi qui traîne quelque part ^^

julienth37

Docker est bien trop simple pour faire de la sécurité réseau, on parle d'une machine qui doit supporter tout le trafic + pare-feux + un reverse proxy, rien que pour ça une demi-douzaine de conteneurs Docker sera requis sans parler d'un IDS. C'est pourquoi une machine physique sur place est requise (et comme elle fera que ça aucun intérêt d'utiliser des conteneurs).
Un IDS AMHA est un marteau pour écraser une mouche dans ce cas, ce genre de protection ne sert à rien pour un "consommateur" de réseau qui n'as pas les compétences d'analyse et de configuration.

Sinon, il n'y a pas de recette magique, la sécurité c'est avant tout des bonnes pratiques et la compréhension de ce que l'on fait, connaitre la menace pour s'en protéger.

Aerya

Ouais enfin on parle de "sécu à la maison", c'est pas la Banque de FRANCE non plus. Et Docker est bien pratique pour ce setup un serveur DNS. Je ne pense pas de toute manière qu'on puisse faire tourner opnsense sous Docker, LXC plutôt si on veut virtualiser, non ?

julienth37

Non LXC ne fait tourner que du Linux (puisque c'est LinuX Container).
En fait en vrai à part se monter une petite infra à la maison (et donc +/- attaquer l'auto-hébergement), y'as pas grand chose à faire. La première étape peut être https://labriqueinter.net mais ça reste AMHA une première étape, si on change pas ses habitudes et ses fournisseurs (FAI, GAFAM, ...) ça reste incomplet (mais le faire permet aussi d'y gagner énormément en vie privée au passage, bonus plus qu'appréciable).

Aerya

Ah oui, ça tournera en KVM du coup.