Allant prochainement d\u00e9m\u00e9nager dans une nouvelle r\u00e9gion, j’ai profit\u00e9 de l’occasion pour revoir en profondeur mon r\u00e9seau interne. En effet, celui avait \u00e9t\u00e9 con\u00e7u lors de mes \u00e9tudes, et modifi\u00e9 par la suite. Cette architecture avait atteint ses limites, et les imbrications entre VLAN emp\u00eachaient les grosses modifications. <\/p>\n\n\n\n
Ayant externalis\u00e9 mon site web, et ayant d\u00e9cid\u00e9 de me passer de mon serveur Cloud, et autres serveurs applicatifs que je n’utilisais quasiment plus, j’ai donc pu arr\u00eater mon ESX, ainsi que le NAS utilis\u00e9 pour le stockage NFS de l’ESX (VM lourdes et peu gourmandes en ressources). <\/p>\n\n\n\n
N’ayant ainsi plus de serveurs ouverts sur l’ext\u00e9rieur, les services de reverse proxy (que je fournissais par HAProxy) se sont retrouv\u00e9s inutiles, ainsi que l’ensemble du VLAN d\u00e9di\u00e9 aux serveurs accessibles depuis l’ext\u00e9rieur. <\/p>\n\n\n\n
J’ai donc r\u00e9install\u00e9 un nouveau pare-feu, donc je ne divulguerai toujours pas le nom, et j’ai commenc\u00e9 \u00e0 r\u00e9installer les services qui tournaient sur l’ancien pare-feu : NAT, filtrage par r\u00e8gles, IDS et IPS, Squid, et VPN. <\/p>\n\n\n\n
Une fois quelques tests effectu\u00e9s, j’ai pu faire la bascule entre l’ancien et le nouveau pare-feu, qui m’a donn\u00e9 quelques fils \u00e0 retordre, mais qui s’est globalement bien pass\u00e9e. <\/p>\n\n\n\n
L’ensemble des r\u00e8gles de filtrage ayant \u00e9t\u00e9 r\u00e9\u00e9crites de z\u00e9ro, ainsi que les r\u00e8gles de l’IPS, je red\u00e9marre donc sur une base saine. Les VLAN de DMZ (fourre tout) et des serveurs externes a fait place \u00e0 un nouveau VLAN que j’utilise pour ma domotique, et \u00e0 un VLAN s\u00e9par\u00e9, isol\u00e9, et prot\u00e9g\u00e9 pour le t\u00e9l\u00e9travail. <\/p>\n\n\n\n
Pour la simplicit\u00e9 du t\u00e9l\u00e9travail, j’ai \u00e9galement cr\u00e9\u00e9 un nouvel SSID sur mes bornes WiFi afin de connecter les ordinateurs et t\u00e9l\u00e9phones pro sur ce nouveau r\u00e9seau d\u00e9di\u00e9 au t\u00e9l\u00e9travail, en plus de la possibilit\u00e9 de se connecter en filaire. Il va de soi que comme mes autres r\u00e9seaux WiFi, j’utilise un panel divers et vari\u00e9 de protections, selon les possibilit\u00e9 de mes bornes. <\/p>\n\n\n\n
En parall\u00e8le, ayant r\u00e9cup\u00e9r\u00e9 le NAS de l’ESX, l’un des projets \u00e0 venir dans les prochaines semaines, entre deux cartons \u00e0 pr\u00e9parer, sera de r\u00e9installer un syst\u00e8me NAS plus performant et mieux maintenu, afin de retrouver un NAS up-to-date. <\/p>\n\n\n\n
L’ancien pare-feu sera mis en vente (et j’esp\u00e8re vendu avant mon d\u00e9m\u00e9nagement), et l’ESX sera r\u00e9install\u00e9 sous la derni\u00e8re version de VMWare ESX pour me servir de lab au besoin. Il sera donc majoritairement \u00e9teint, mais avec la possibilit\u00e9 d’\u00eatre red\u00e9marr\u00e9. <\/p>\n\n\n\n
Vous l’avez constat\u00e9, je narre beaucoup sur ce que je peux faire, sans pour autant donner de d\u00e9tails trop croustillants, dans le but d’assurer la s\u00e9curit\u00e9 de mon SI. Donner des informations pouss\u00e9es, telles que le mod\u00e8le de mon pare-feu, ou quel est l’IPS utilis\u00e9, etc…, serait \u00e9quivalent \u00e0 donner les cl\u00e9s du royaume \u00e0 un \u00e9ventuel pirate, qui pourrait alors s’en servir. Je ne pr\u00e9tends aucunement \u00e0 avoir un r\u00e9seau int\u00e9ressant pour les pirates, mais dans le monde de la s\u00e9curit\u00e9 informatique, le principe de pr\u00e9caution pr\u00e9vaut, et il faut toujours trouver le juste milieu entre trop d’information, et pas assez. <\/p>\n\n\n\n
Si vous \u00eates arriv\u00e9s jusque l\u00e0, je vous remercie pour votre lecture, et je vous dis \u00e0 tr\u00e8s bient\u00f4t \ud83d\ude42 <\/p>\n","protected":false},"excerpt":{"rendered":"
Allant prochainement d\u00e9m\u00e9nager dans une nouvelle r\u00e9gion, j’ai profit\u00e9 de l’occasion pour revoir en profondeur mon r\u00e9seau interne. En effet, celui avait \u00e9t\u00e9 con\u00e7u lors de mes \u00e9tudes, et modifi\u00e9 par la suite. Cette architecture avait atteint ses limites, et les imbrications entre VLAN emp\u00eachaient les grosses modifications. Ayant externalis\u00e9 […]<\/p>\n","protected":false},"author":1,"featured_media":117,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_themeisle_gutenberg_block_has_review":false,"footnotes":""},"categories":[7,8],"tags":[],"class_list":["post-239","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-infrastructure","category-securite"],"_links":{"self":[{"href":"https:\/\/tkrug.fr\/index.php\/wp-json\/wp\/v2\/posts\/239","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tkrug.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tkrug.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tkrug.fr\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tkrug.fr\/index.php\/wp-json\/wp\/v2\/comments?post=239"}],"version-history":[{"count":2,"href":"https:\/\/tkrug.fr\/index.php\/wp-json\/wp\/v2\/posts\/239\/revisions"}],"predecessor-version":[{"id":241,"href":"https:\/\/tkrug.fr\/index.php\/wp-json\/wp\/v2\/posts\/239\/revisions\/241"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/tkrug.fr\/index.php\/wp-json\/wp\/v2\/media\/117"}],"wp:attachment":[{"href":"https:\/\/tkrug.fr\/index.php\/wp-json\/wp\/v2\/media?parent=239"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tkrug.fr\/index.php\/wp-json\/wp\/v2\/categories?post=239"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tkrug.fr\/index.php\/wp-json\/wp\/v2\/tags?post=239"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}