La *.*Box qui a été fournie a tout un chacun, ou même le simple modem qui équipe certains d'entre nous, est en fait à considérer comme un equipement de téte de ligne… appartenant au fournisseur d'accès TELECOM ou TV (c'est selon vos goût…). Et à ce titre est sous l'entier contrôle du-dit fournisseur !

A partir de là, il va falloir être sévèrement schizophrène ! Votre FAI a le contrôle total sur votre gnagnaBox et sur votre TVBox, ainsi que sur le réseau telecom, le LAN entre la toudidouBox et la boite à images, et le LAN entre la rondidjiBox et vos machines. Alors que vous êtes responsables techniquement et légalement de toute l'installation dans votre home-sweet-home depuis le bout de cable en cuivre nommé cable téléphonique (ou TV) qui pendouille au bout de la prise mal scellée en bas de votre mur, jusqu'au moindre octet sur vos disques durs… Yoppi!!! Ca : c'est fun !

Accessoirement aussi, des lois sont en train d'être votées concernant directement ces tralalaBox qui ne vous appartiennent pas et dont vous n'avez pas la gestion mais dont vous allez vraiment être directement le seul et unique responsable !

Conclusion 1 : on ne délègue rien ou presque à la Box TVCOM, enfin juste le minimum sauf à avoir un routeur telecom “pro” sur lequel on a la main, à la place de ces trucs tout en plastique (typiquement ce qu'on appelle un routeur d'agence).

Donc typiquement : on règle sur la $Box uniquement ce qui concerne la gestion du brin “TELECOM” même au niveau IP, on effectue la sauvegarde de la configuration dans un fichier rechargable vite fait ultérieurement. Et basta !!! On place un routeur local derrière la %Box, et uniquement ça.

Accesssoirement, oubliez le Wifi™, le Bluetooth™ et le CPL directement sur la @#%$Box sauf à aimer poser la tête volontairement sur le billot du bourreau… Même si ca file d'agréables frissons à certains (chacun ses goûts…) : le monde exterieur est plein de méchants, de pas gentils qui piratent la €Box de Madame Michu, de pédonazis de TF1™, de chasseurs de primes, de réducteurs de têtes appointés, et de milices privées ! Tout et son contraire pourra vous être reproché à partir du moment où vous laissez un point d'appui sans contrôle à qui que ce soit. Donc on suprimme les points d'appuis non maîtrisables et on veille à ce que ce soit effectif en dépit des agissements à distances des fournisseurs choisis.

Conclusion 2 : Wifi™, le Bluetooth™ et le CPL devront être connecté de façon séparée sur le routeur LAN et devront faire l'objet de traitements spécifiques.

N.d.l.a : Madame Michu semble être un député ou un ministre intervenant souvent dans l'hémicycle et assez inepte des qu'il s'agit de technologie grand-public ! Quand on parle de ce qu'on ne connait pas… tout le monde en voit vite le résultat.

Petit corolaire : l'appareil policier et judiciaire… est à classer parmi les gentils ! Et OUI ! «Aide et assistance leur sont naturellement dus» (pas besoin de nous pondre des lois de m*rd* pour nous y obliger, on n'est pas des neuneux révoltés et coupés du monde…). Pour peu que vous croisiez des spécialistes des réseaux ouverts ; et pas des réseaux publics vu que ceux-ci recouvrent les réseaux fermés à destination du public sous exploitation commerciale, vous vous apercevrez vite qu'il s'agit de personnes avec qui on se comprends et s'entend très bien ; qui, en deux mots, vous débroussaillent les pensées royalement.

N.d.l.a. : les spécialistes, policiers, militaires (gendarmes) et juridiques (juges, avocats, etc) des réseaux radiocoms amateurs et/ou non commerciaux semblent être des interlocuteurs de valeur pour tout ce qui peut nous concerner et qui traite les relations «sociétales». Le problèmes est de les trouver et d'établir le premier contact… surtout sans être un syndicat corporatiste, une assos loi 1901, etc.

Conclusion 3 : il y doit y avoir un routeur logiciel ou physique pour les réseau locaux derrière le modem ou la PlopBox ; routeur qui comprend un firewall interne réglé bien sérré ! Ce routeur/firewall trouvera naturellement sa place dans la machin auto-hébergée, ou à l'exterieur pour les puristes (tout depend du nombre d'interfaces ethernets hébergée localement, ainsi que du nombre de cables et de prises 240Vac disponibles, etc).

Bref la SpontzBox ne fait rien ou presque et vous assurez le reste… C'est le seul moyen de ne pas voir de nouvelle configuration chargée par on ne sait qui et on ne sait quand sur une machine critique.

Il s'agit ici de décrire la configuration d'un firewall intégré dans une machine auto-hébergée effectuant aussi les fonctions de firewall (logique non ?), routeur et de serveur. Le terme consacrée pour ce genre de machine est simplement un «bastion».

Cet type de configuration, même si elle n'est pas présentée de façon accadémique, convient aussi pour la configuration du firewall qui seramit en tête d'un routeur LAN situé derrière la GrumblBox.

(N.d.l.a. : Je ne répète pas bêtement les termes à la mode ou les axiomes scolaires qu'on met dans le crâne des moinillons-copistes modernes ; mais je met en place mes propres modèles. Si ça ne convient pas : do-it-your-way !)

On nommera dans cette description les réseau avec les noms suivants :

• réseau «noir» : connecté uniquement à la PatapwetBox (et même pas à l'exterieur). C'est le monde du wildwildweb… heu… enfin… pour être précis, vous êtes là sur un réseau public d'exploitation commerciale, lui même propriété privée (en propre ou louée) de votre prestataire.
• réseau «rouge» : réseau local connecté au monde exterieur. Typiquement, on y trouvera vos points d'accès Wifi(tmp)n, les coupleurs CPL, les cables tirés dans le jardin vers le copaing' qui habite la maison d'a coté, votre émèteur/recepteur laser pour les tirs de comm' longue distance, etc.
• réseau «vert» : réseau LAN interne de toute confiance !

auquels on peut ajouter :

• réseau «orange» : réseau LAN interne à confiance limitée mais plus relax que le «rouge» mais pas aussi libre que le «vert».

N.d.l.a. : il est légalement interdit d'établir un réseau sur la voie publique.

1. Tout ce qui n'est pas explicitement autorisé est interdit sur les réseaux gérés localement. Ce qui se traduit par une règle générale associée à une règle spécifique tout aussi explicite associée à chaque interface réseau.
2. Tout début de traffic “inconnu”, donc interccepté par la régle par default est loggué dans un fichier log spécifique (nommé ici par exemple firewall.default.log).
3. Mettre en place les règles génériques s'assurant de la cohérence du traffic routé.
4. Sauf nécessité absolue : tout début de transaction interdit sur les interfaces des réseaux locaux n'ont pas besoin d'être loggué.
5. Pour faire simple toutes les transaction ICMP seront gérées de manière générales : mon cas DROP pour les réseaux “publics”, et LOG pour les réseaux de confiance.
6. Tous le matériel sensible (routeur, AP Wifi(s), etc) envoit ses logs au routeur/firewall par le port syslog (514) et les transactions ne sont acceptée qu'en provenance explicite de ces machines.
7. Toute transaction est tracée par inspection “state-full”.
8. Un soin particulier est demandé lors de la mise en place des “gateways authentifiées” (traduction : autorisations de routage spécifiques par identification par clef publique/privée).
9. Il faut logger tout ce qui rentre et sort vers ou depuis le réseau public (WAN) ou le réseau local public si il y en a un localement. Et ceci pour cadrer avec les contraintes légales, et ce n'est donc pas négociable.
10. Il faut logger tout ce qui pose problème pour tracer les améliorations. Ce type de logging est donc modulable en fonction de l'experience de l'opérateur du système. Ici tout est négociable.
11. Il faut passer par le systeme centralisé de gestion des logs pour automatiser leur gestion et répondre aux contraintes légale d'enregistrement, de nettoyage des données, et de conservation.
12. Il ne faut pas saturer le système de gestion des logs… l'enregistrement des établissements de transaction est suffisant pour ce qui nous concerne.

1. Tout debut de transaction vers ou depuis le réseau “noir” est loggué dans un fichier firewall.noir.log.
2. Seuls les services locaux a la machine, explicitement listés , sont autorisés en entrée et loggué.
3. Seuls les services ayant fait l'object d'une redirection vers les LANs locaux sont autorisés et loggué en entrée, et ce, explicitement.
4. Faire en sorte que seul le routeur LAN ou tout autre machine désignée par vous puisse acceder à l'IHM de gestion du routeur WAN.

1. toutes les transactions sont autorisées et logguées dans un fichier firewall.vert.log.

1. L'accés à certains services est uniquement local et loggé dans un fichier firewall.rouge.log : NTP, BIND, HTTP, etc.
2. L'accés à certains services est autorisé et loggé dans un fichier firewall.rouge.log: POP3, IMAP, HTTPS, POP3S, IMAPS, etc.
3. Tout le reste est interdit.
4. Il n'y a pas d'insertion de règle pour ce réseau.
5. Faire en sorte que seul le routeur LAN ou tout autre machine désignée par vous puisse acceder à l'IHM de gestion des points d'accès et autres bidules sensibles.

1. Comme le réseau «rouge» avec des règles d'assouplissement en plus ; règles qui sont souvent spécifique à la configuration locale.
2. Avec au besoin un ou deux points d'insertion et de retrait de règle pour le contrôle à distance. (N.d.l.a. : mon «atelier» subit ce genre de «règles» : cela évite la casse en public).
3. La DMZ se trouve par là !
4. Tous les logs ont lieu dans un fichier firewall.orange.log.

1. La BoboBox envoit ses logs au routeur/firewall qui les place automatiquement dans le fichier routeur.noir.log
2. Toutes les machines sensibles ou exportant des logs sont synchronisées sur le serveur de temps du routeur/firewall ou sur toute machine UNIQUE LOCALE !

C'est un peu «lourd» à mettre en place et demande des fichiers de configuration de 100 à 200 lignes. Mais cela marche pas trop mal et reste facilement débuggable car très structuré et synthétique.

Il s'agit ici de décrire les focntions de protection minimales à mettre enplace sur un serveur auto-hébergé, lui même déjà protégé par un firewall externe placé entre la ZZZBox et le routeur LAN.