Tassimat
28.09.2021 20:21:58
- #1
Peut-être qu'une solution VPN est aussi possible, si tes appareils terminaux peuvent le faire, que tu veux connecter à ce port.
Le réseau sécurisé et haut de gamme dans la maison individuelle
- Erstellt am 06.06.2020 23:00:54
Tarnari
28.09.2021 20:38:49
- #2
Tu as besoin de quelque chose sur lequel le serveur Radius fonctionne. Chez moi, c’est par exemple une pfSense. Ensuite, l’appareil autorisé doit bien sûr pouvoir faire du 802.1x et connaître les identifiants d’accès Radius. Ces appareils ont quelque part dans le menu un point où tu peux activer cela et entrer les identifiants.
Tu ne peux pas simplement brancher n’importe quoi - ou alors quel est l’objectif pratique exactement ? À un moment donné, tu dois associer l’appareil autorisé au système, soit par un simple filtrage MAC, soit par les identifiants Radius. Comment en es-tu venu à parler d’une TV ? Je pensais que tu voulais sécuriser des prises extérieures ? On connecte plutôt rarement une TV ou un PC à la prise RJ45 de l’AP extérieur sous le débord de terrasse ? Dans une maison (et je pense que tu parles d’une maison privée), on n’a généralement pas d’invités suspects qui manipulent le LAN. Les ports « vulnérables » dans la chambre d’amis pourraient aussi être placés directement dans un VLAN séparé, fortement restreint.
Avec les caméras Hikvision, cela ressemble par exemple à ça :
L’objectif pratique est que les trois ports (au-dessus de la terrasse et deux dans le garage) ne puissent être utilisés par aucun appareil que je n’autorise pas, mais que les ports puissent néanmoins être utilisés par n’importe quel appareil que je souhaite. Dans le garage, il y a la passerelle Gardena et un point d’accès, au-dessus de la terrasse également un point d’accès. Je veux empêcher que quelqu’un branche un appareil (peu importe lequel) et ait accès à mon réseau, mais autoriser mes appareils (peu importe lesquels) à y accéder.
Araknis
28.09.2021 20:43:37
- #3
Je ne peux pas imaginer (sans faire de recherches) que des Chinakracher puissent avoir un rayon comme un Gardena-Gateway. Si tu veux vraiment pouvoir connecter tous les appareils, il ne reste probablement que la voie du filtrage MAC. Ce n’est pas vraiment sûr, mais on peut facilement lire l’adresse MAC de l’ancien appareil avec un effort raisonnable et ensuite la falsifier à volonté. Quelque chose en pâtit toujours, que ce soit l’ergonomie, la sélection des appareils ou la sécurité.
« Brancher simplement » ne fonctionne pas non plus avec le filtrage MAC, tu dois toujours d’abord inscrire l’adresse MAC au niveau de l’autorisation. Pour cela, tout appareil ayant une adresse MAC devrait pouvoir être utilisé.
« Brancher simplement » ne fonctionne pas non plus avec le filtrage MAC, tu dois toujours d’abord inscrire l’adresse MAC au niveau de l’autorisation. Pour cela, tout appareil ayant une adresse MAC devrait pouvoir être utilisé.
Tarnari
28.09.2021 20:52:13
- #4
C'est justement ça ma question. Le filtre MAC ne sert absolument à rien. Si la réponse à ma question est « ça ne marche pas », alors je serais déjà avancé. Concrètement, je voulais savoir si je peux contrôler quel appareil reçoit une adresse via DHCP et lequel ne la reçoit pas. Si ce n'est pas possible, d'accord. Alors je sais que ma tentative n'était pas bonne et que ce n'est pas mon truc.
Araknis
28.09.2021 20:55:53
- #5
D'accord, alors brièvement :
Oui, tu peux.
Ça fonctionne en général toujours. C’est « bien » si ton appareil supporte le 802.1x. C’est « moins bien » s’il ne dispose que d’une adresse MAC.
En général, je réfléchirais de manière réaliste à ce genre de scénarios d’attaque. Avec des VLAN, tu isoles déjà les ports extérieurs du reste du réseau. Ensuite, il restent certaines routes par exemple vers Internet. Et ensuite ? Ton visiteur peut surfer. Mais faire tout ça alors que la moitié des réseaux Wi-Fi du voisinage sont mal sécurisés ? Ce qui m’embêterait plutôt, c’est que quelqu’un profite de l’occasion pour voler le point d’accès ou la passerelle Gardena.
Je voulais concrètement savoir si je peux contrôler quel appareil reçoit une adresse via DHCP et lequel ne la reçoit pas.
Oui, tu peux.
Si ce n’est pas possible, ok. Alors je sais que ce n’était pas sérieux et que ça ne me plaît pas.
Ça fonctionne en général toujours. C’est « bien » si ton appareil supporte le 802.1x. C’est « moins bien » s’il ne dispose que d’une adresse MAC.
En général, je réfléchirais de manière réaliste à ce genre de scénarios d’attaque. Avec des VLAN, tu isoles déjà les ports extérieurs du reste du réseau. Ensuite, il restent certaines routes par exemple vers Internet. Et ensuite ? Ton visiteur peut surfer. Mais faire tout ça alors que la moitié des réseaux Wi-Fi du voisinage sont mal sécurisés ? Ce qui m’embêterait plutôt, c’est que quelqu’un profite de l’occasion pour voler le point d’accès ou la passerelle Gardena.
Tassimat
28.09.2021 21:14:40
- #6
Je suis du même avis. C'est exactement pour cela que les VLAN ont été conçus. Si tu limites ensuite le trafic vers les adresses nécessaires à Gardena, etc., via un pare-feu, personne ne pourra faire de bêtises. (Ou réduire le débit à la vitesse du modem :D)En général, il faudrait réfléchir de manière réaliste à de tels scénarios d'attaque. Avec des VLAN, tu isoles déjà les ports extérieurs du reste du réseau. Il restent alors certaines routes, par exemple vers Internet.