Note : la qualité (TELECOM, !!!, ???, Youpi! et autre loleries à tout va) et l'intérêt (paranoïa ?) de cet article restent à prouver.
La *.*Box qui a été fournie a tout un chacun, ou même le simple modem qui équipe certains d'entre nous, est en fait à considérer comme un equipement de téte de ligne… appartenant au fournisseur d'accès TELECOM ou TV (c'est selon vos goût…). Et à ce titre est sous l'entier contrôle du-dit fournisseur !
A partir de là, il va falloir être sévèrement schizophrène ! Votre FAI a le contrôle total sur votre gnagnaBox et sur votre TVBox, ainsi que sur le réseau telecom, le LAN entre la toudidouBox et la boite à images, et le LAN entre la rondidjiBox et vos machines. Alors que vous êtes responsables techniquement et légalement de toute l'installation dans votre home-sweet-home depuis le bout de cable en cuivre nommé cable téléphonique (ou TV) qui pendouille au bout de la prise mal scellée en bas de votre mur, jusqu'au moindre octet sur vos disques durs… Yoppi!!! Ca : c'est fun !
Accessoirement aussi, des lois sont en train d'être votées concernant directement ces tralalaBox qui ne vous appartiennent pas et dont vous n'avez pas la gestion mais dont vous allez vraiment être directement le seul et unique responsable !
Conclusion 1 : on ne délègue rien ou presque à la Box TVCOM, enfin juste le minimum sauf à avoir un routeur telecom “pro” sur lequel on a la main, à la place de ces trucs tout en plastique (typiquement ce qu'on appelle un routeur d'agence).
Donc typiquement : on règle sur la $Box uniquement ce qui concerne la gestion du brin “TELECOM” même au niveau IP, on effectue la sauvegarde de la configuration dans un fichier rechargable vite fait ultérieurement. Et basta !!! On place un routeur local derrière la %Box, et uniquement ça.
Accesssoirement, oubliez le Wifi™, le Bluetooth™ et le CPL directement sur la @#%$Box sauf à aimer poser la tête volontairement sur le billot du bourreau… Même si ca file d'agréables frissons à certains (chacun ses goûts…) : le monde exterieur est plein de méchants, de pas gentils qui piratent la €Box de Madame Michu, de pédonazis de TF1™, de chasseurs de primes, de réducteurs de têtes appointés, et de milices privées ! Tout et son contraire pourra vous être reproché à partir du moment où vous laissez un point d'appui sans contrôle à qui que ce soit. Donc on suprimme les points d'appuis non maîtrisables et on veille à ce que ce soit effectif en dépit des agissements à distances des fournisseurs choisis.
Conclusion 2 : Wifi™, le Bluetooth™ et le CPL devront être connecté de façon séparée sur le routeur LAN et devront faire l'objet de traitements spécifiques.
N.d.l.a : Madame Michu semble être un député ou un ministre intervenant souvent dans l'hémicycle et assez inepte des qu'il s'agit de technologie grand-public ! Quand on parle de ce qu'on ne connait pas… tout le monde en voit vite le résultat.
Petit corolaire : l'appareil policier et judiciaire… est à classer parmi les gentils ! Et OUI ! «Aide et assistance leur sont naturellement dus» (pas besoin de nous pondre des lois de m*rd* pour nous y obliger, on n'est pas des neuneux révoltés et coupés du monde…). Pour peu que vous croisiez des spécialistes des réseaux ouverts ; et pas des réseaux publics vu que ceux-ci recouvrent les réseaux fermés à destination du public sous exploitation commerciale, vous vous apercevrez vite qu'il s'agit de personnes avec qui on se comprends et s'entend très bien ; qui, en deux mots, vous débroussaillent les pensées royalement.
N.d.l.a. : les spécialistes, policiers, militaires (gendarmes) et juridiques (juges, avocats, etc) des réseaux radiocoms amateurs et/ou non commerciaux semblent être des interlocuteurs de valeur pour tout ce qui peut nous concerner et qui traite les relations «sociétales». Le problèmes est de les trouver et d'établir le premier contact… surtout sans être un syndicat corporatiste, une assos loi 1901, etc.
Conclusion 3 : il y doit y avoir un routeur logiciel ou physique pour les réseau locaux derrière le modem ou la PlopBox ; routeur qui comprend un firewall interne réglé bien sérré ! Ce routeur/firewall trouvera naturellement sa place dans la machin auto-hébergée, ou à l'exterieur pour les puristes (tout depend du nombre d'interfaces ethernets hébergée localement, ainsi que du nombre de cables et de prises 240Vac disponibles, etc).
Bref la SpontzBox ne fait rien ou presque et vous assurez le reste… C'est le seul moyen de ne pas voir de nouvelle configuration chargée par on ne sait qui et on ne sait quand sur une machine critique.
Il s'agit ici de décrire la configuration d'un firewall intégré dans une machine auto-hébergée effectuant aussi les fonctions de firewall (logique non ?), routeur et de serveur. Le terme consacrée pour ce genre de machine est simplement un «bastion».
Cet type de configuration, même si elle n'est pas présentée de façon accadémique, convient aussi pour la configuration du firewall qui seramit en tête d'un routeur LAN situé derrière la GrumblBox.
(N.d.l.a. : Je ne répète pas bêtement les termes à la mode ou les axiomes scolaires qu'on met dans le crâne des moinillons-copistes modernes ; mais je met en place mes propres modèles. Si ça ne convient pas : do-it-your-way !)
On nommera dans cette description les réseau avec les noms suivants :
auquels on peut ajouter :
N.d.l.a. : il est légalement interdit d'établir un réseau sur la voie publique.
C'est un peu «lourd» à mettre en place et demande des fichiers de configuration de 100 à 200 lignes. Mais cela marche pas trop mal et reste facilement débuggable car très structuré et synthétique.
Il s'agit ici de décrire les focntions de protection minimales à mettre enplace sur un serveur auto-hébergé, lui même déjà protégé par un firewall externe placé entre la ZZZBox et le routeur LAN.