Pour ma part, je me fais un conbo Ghostery+uBlock Orgin. A part sur les sites codés avec les pieds, on est royalement tranquilles avec ces deux là. Seb.
Le 18/02/2020 à 10:47, Joel DEREFINKO a écrit : > +1 pour uBlock Origin. > > -----Message d'origine----- > De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de J. C. > Jacquart > Envoyé : mardi 18 février 2020 08:37 > À : Michel Py <mic...@arneill-py.sacramento.ca.us> > Cc : DUVERGIER Claude <frnog...@claude.duvergier.fr>; frnog-t...@frnog.org > Objet : Re: [FRnOG] [TECH] Bonnes pratiques concernant "Management VLAN" ? > > salut, > juste une précision même si un peu HS: >> Michel Pya écrit : >> -Mettre un adblocker sur les postes (adblockplus.org). > il faut éviter adblock plus qui se permet de décider quelles pubs sont > bonnes pour toi (moyennant $$ de la part des entreprises bien sur) > https://www.nytimes.com/2016/09/19/business/media/adblock-plus-created-to-protect-users-from-ads-opens-the-door.html > ublock origin est mieux et refuse de se vendre > https://en.wikipedia.org/wiki/UBlock_Origin > > Le mar. 18 févr. 2020 à 03:03, Michel Py <mic...@arneill-py.sacramento.ca.us> > a écrit : > >>> DUVERGIER Claude a écrit : >>> Je comprends surtout que ces bonnes pratiques ne s'appliquent pas (ou >>> difficilement avec du matériel qui n'est pas prévu pour ça). >> Absolument. Bon en plus, même si je pouvais parce que mon matos le >> supporte, un de mes deux VLANs de management est VLAN 1 (j'ai pas assez de >> place dans un /24 pour tout). Honnêtement, j'ai mieux à faire que de >> renuméroter 250 switches dans mon VLAN 1 pour faire plaisir à Cisco. >> >> Les trucs à faire en priorité (pas forcément dans l'ordre) : >> - Se débarrasser de la machinbox de m... si possible. Une longue route >> souvent semée d'embuches. >> - Chaque fois que tu te loggues dans ton switch ou routeur çà t'envoie un >> email. >> - Un bon pare-feu. Pour 12 utilisateurs, je mets çà : >> https://www.untangle.com/shop/z4w-appliance/ >> Même avec les apps gratuites c'est sympa. >> - Mettre un adblocker sur les postes (adblockplus.org). >> - Utiliser un DNS externe qui filtre la merdasse (j'utilise OpenDNS). >> - Port Security : une seule adresse MAC par port, çà évite les clampains >> qui mettent un switch 5 ports sous leur bureau. >> >> Dans la réalité, çà fait plus pour toi que de mettre un VLAN de management >> pour 2 switchs. >> >> >>> Et aussi l'impression de mettre en place une grosse infra pour gérer >>> un réseau de 12 personnes qui font du web toute la journée. >> Bah, sur la liste du FRnOG c'est pas interdit. Je ne suis pas le seul qui >> a (à la maison) plus de VLANs que d'utilisateurs, même quand on compte ceux >> à 4 pattes. Faire une usine à gaz c'est rarement productif mais si >> t'apprends quelque chose au passage... >> >> Si t'as vraiment du temps à perdre : RBL eBGP avec uRPF, réseau local avec >> certificats 802.1x, WiFi avec PEAP et RADIUS, 2FA, il y a pleins de trucs >> très sympa pour fabriquer ton usine à gaz. >> >>> Si j'ai bien compris, dans un système "idéal" : >>> * Le LAN de management serait dans un VLAN (différent de 1, eg. 66) et >> un réseau IP "M" >>> * Le LAN des postes serait dans un VLAN (eg. 42) et un réseau IP "W" >>> * Le LAN des serveurs de fichiers serait dans un VLAN (eg. 55) et un >> réseau IP "S" >>> * Le poste de l'administrateur serait dans le VLAN 42 et réseau IP "W" >>> * Les switchs seraient L3-capable et réseau IP "M" >>> * Le trafic entre les réseaux IP¨"M" et "W" serait audité et contrôlé >>> (bloqué/autorisé : white-liste par IP/MAC/RADIUS? par les switchs L3. >>> * Le trafic entre les réseaux IP¨"W" et "S" serait au minimum audité par >> les switchs L3. >> >> Quelque chose comme çà, oui. >> >>> A défaut de switchs L3 ont peut poser un "gros" routeur (ou un serveur >> qui fait >>> routeur) pour l'inter-VLAN mais il lui faudra des liens costauds avec >> chaque switch. >> >> Non, c'est trop limitant en termes de vitesse (ou alors çà va couter un >> bras). L3 switch qui route à "wire speed", en tout cas entre les postes et >> les serveurs. Pour l'infra réseau ça suffit. >> >> Michel. >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
