> Radu-Adrian Feurdean a écrit : > IPtables ou PF "clean" ?
Ou similaire, apparemment tout le monde est d'accord. > PS: je m'abstiens toujours a faire des commentaires sur le fait d'avoir *TOUT* > (router/FW, AP WiFi, switch, Media player, serveur, ....) sur le meme > equipement. J'avais bien précisé que c'était un mouton à 5 pattes. Bon le switch faut oublier, en ce qui concerne media player je ferais pas non plus, mais avoir un disque qui serve de NAS pour sauvegarde et autres ça mange pas de pain. > Stephane Martin a écrit : > 2- oui un parefeu ça aide, en particulier contre les invités qui ramènent > leur portable win > xp vérolé. se protéger contre l'externe, ça va, contre l'interne c'est plus > compliqué. Totalement d'accord, mais que faire ? Bloquer le port 25 sur l'interface interne sauf pour le serveur et ma bécane. Check. Bloquer ssh et les tunnels je peux pas, c'est le premier truc que les potes vont faire et j'ai pas envie de micro-manager çà. Dans le schéma ci-dessous, la boîte "Parefeu" n'existe pas (encore). Ce qu'il faudrait qu'elle fasse : - Transparent (pas de NAT). - Interception DNS avec les listes de adblockplus.org. Mécanisme à définir, en faire quelque chose comme un AdTrap http://www.getadtrap.com/; je sais pas comment ils font, mais je préfèrerais quelque chose basé sur DNS au lieu d'un proxy http transparent. Pour les clients qui n'ont pas adblockplus installé. - Injecter les adresses IP bloquées par MalwareBytes dans iBGP (est-ce que quelqu'un sait comment récupérer leur listes) donc remplacer la boîte ExaBGP. - Même chose avec d'autres blacklists. - Détecter les trucs que les ACL et les logs n'ont pas vu (dans les 2 sens) ? - Faire le café. > et on trouve des trucs rigolos dans les logs de temps à temps. si pas de > parefeu, pas de logs. Des exemples, et que loguer ? Michel. ___________ _______________ +---------------------------------/ Ze claoud \--+ +--/ Ze rézo local \--------------------------------------------+ ! ! ! ! ! +-----+ +---+ +---+ ! ! +---+ +---------------+ ! ! ! FAI ! ! x ! ! y ! ! ! Cafetière -----+ +- Serveur +---+ Switch Garage + ! ! +--+--+ +-+-+ +-+-+ ! ! ! S ! ! +---------------+ ! ! ! ! ! _______ ! W +- PCs +---+ ! ! +--------+ +----+--------+------/ Cisco \----+ ! I ! ! +------ DVR ! ! ! ! Tu100 Tu200 ! ! T +--------+ ! ! ! ! ! NAT + Log ! +---------+ ! C ! +---+--+ ! ! +--------------+ +---+ ATM0/0/0/0.35 Reflx ACL F0/0 +---+ Parefeu +--+ H +-------------+ Wifi +--- NeoTV ! ! ! Team Cymru ! ! ! +---------+ ! ! +-+-+--+ Netflix ! ! ! FullBogon #1 +---+ ! eBGP eBGP eBGP iBGP ! ! +- Ooma ! ! ! ! +--------------+ ! +----+------+------+-----------+--+ ! ! ! +------ PC films ! ! ! ! ! ! ! ! ! +--------+ ! +- Pi ! ! ! +--------------+ +--------+ ! ! ! ! +------+ ExaBGP +---+ ! ! ! ! ! Team Cymru ! ! ! ! ! !--------+ ! ! ! ! ! ! FullBogon #2 +-------------------+ ! ! ! +-+-+ ((( o ))) (((geek))) ! ! +--------------+ ! ! ! ! ! ! ! ! ! +---------------------+-----------------------------+ ! ! +--------------+ ! ! ! ! Chiottes énablés TCP/IP pour tirer la chasse avec ! ! ! ! Bad IPs +--------------------------+ ! ! ! une app Android, et générer un évenement syslog ! ! ! ! BGP feed ! ! ! ! à chaque fois, çà frime à mort avec les geeks. ! ! ! +--------------+ ! ! +---------------------------------------------------+ ! ! ! ! ! +------------------------------------------------+ +---------------------------------------------------------------+ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
