Sondage Utilisez‑vous un pare‑feu dédié à la maison ?

Posté par  . Licence CC By‑SA.
Étiquettes :
14
19
août
2020

Il y a cinq ans, quand j’habitais Paris, j’aimais bien récupérer des équipements électroniques déposés sur les trottoirs. Un jour, je tombe sur une tour Compaq avec un logo « Intel Inside Celeron » à l’ancienne. Curieux, je l’embarque pour regarder ce qu’il y a dedans.

C’est une ancienne tour bureautique avec une configuration « vintage » et peu véloce : Intel Celeron 1 100 MHz, SDRAM, trois ports PCI, carte vidéo 2D intégrée et contrôleur réseau 10/100 intégré. À l’allumage, je constate qu’elle fait peu de bruit et qu’elle consomme une trentaine de watts : parfait pour une tour qu’on pourrait laisser allumée toute la journée. L’interface de ma Bbox m’exaspérait, alors pourquoi ne pas la transformer en pare‑feu/routeur ?

Il existe un grand nombre de distributions de pare‑feu sous GNU/Linux ou BSD. J’ai testé celles adaptées à ma configuration : IPCop, IPFire, pfSense et Zeroshell. Finalement, j’ai retenu IPFire car l’interface est légère, les fonctionnalités me conviennent, les mises à jour sont régulières et l’équipe de développement accessible.

En fouillant dans les options et dans la doc, j’ai pu apprendre les bases des réseaux : DHCP, DNS, serveur mandataire (proxy), observation des connexions, détection d’intrusions… Ce qui était censé être une configuration à but pédagogique est devenu une configuration nominale : le pare‑feu est toujours derrière ma box, mais la tour Compaq a laissé place à une Dell 64 bits trouvée dans la rue elle aussi.

Suis‑je le seul à utiliser ce genre de distribution à la maison ? Dédiez‑vous une machine à la gestion de votre réseau local, ou vous contentez‑vous de votre box Internet ?

  • Oui, OPNsense :
    68
    (3.8 %)
  • Oui, pfSense :
    153
    (8.6 %)
  • Oui, Zeroshell :
    3
    (0.2 %)
  • Oui, SmoothWall :
    1
    (0.1 %)
  • Oui, IPFire :
    20
    (1.1 %)
  • Oui, une autre distribution Linux/BSD :
    204
    (11.4 %)
  • Oui, un matériel ou un système d’exploitation propriétaire :
    90
    (5.0 %)
  • Non, j’utilise ma box Internet :
    1135
    (63.7 %)
  • Autre :
    109
    (6.1 %)

Total : 1783 votes

La liste des options proposées est volontairement limitée : tout l’intérêt (ou son absence) de ce type de sondage réside dans le fait de forcer les participants à faire un choix. Les réponses multiples sont interdites pour les mêmes raisons. Il est donc inutile de se plaindre au sujet du faible nombre de réponses proposées ou de l’impossibilité de choisir plusieurs réponses. 76,78 % des personnes sondées estiment que ces sondages sont ineptes.
  • # Mikrotik et RouterOS

    Posté par  . Évalué à 3.

    J'ai un routeur Mikrotik qui utilise un noyau Linux. La solution bien que fermée est très complète. Bientôt je passerai à UniFi Security Gateway.

    Les solutions libres sans trop se prendre la tête sont très rares dans ce domaine. Si vous avez des références qui ont un matériel prêt à l'usage, une interface accueillante et optionnellement une application mobile je suis tout ouïe.

    • [^] # Re: Mikrotik et RouterOS

      Posté par  . Évalué à 3.

      J'ai oublié de mentionner les routeurs de Turris qui tournent sous une version custom d'OpenWRT.
      Titre de l'image
      J'ai aussi oublié de mentionner les distributions OpenWRT et DD-WRT (la honte), donc les propriétaires d'un Linksys WRT54G flashé seront obligés de mettre "une autre distribution Linux/BSD".
      Titre de l'image

      • [^] # Re: Mikrotik et RouterOS

        Posté par  (site Web personnel, Mastodon) . Évalué à 8. Dernière modification le 19/08/20 à 22:18.

        J'utilise OpenWRT depuis quelques années et c'est vraiment top.

        L'interface web est simple et plutôt bien faite. On peut vraiment tout faire, même des bêtises, genre ne plus pouvoir accéder au routeur. Heureusement, j'avais acheté des routeurs avec lesquels il y avait une procédure de secours pour flasher à nouveau un OpenWRT tout neuf.

        J'avais acheté, il y a plusieurs années le routeur NetGear WNDR-3800, sur la boîte c'était écrit "compatible avec OpenWRT" (ou ddwrt, je ne me souviens plus, mais j'avais repéré que c'était un argument de vente).

        Depuis, j'ai changé pour un Netgear R7800 Nightmar, parce que j'avais besoin d'un routeur plus véloce pour connecter mon infrastructure à SwissNeutralNet via OpenVPN. SwissNeutralNet est un FAI associatif en faveur de la neutralité du net qui permet en Suisse d'avoir le même genre de service que FDN.

        Pour ce routeur, j'ai regardé les performances en débit relevé sur OpenWRT pour OpenVPN et WireGuard. D'ailleurs, vous noterez les superbes débits de WireGuard sur le même hardware, c'est fou !

      • [^] # Turris aussi

        Posté par  . Évalué à 1.

        ici j'utilise Turris, qui présente l'avantage d'être SIMPLE à paramétrer ;-)

    • [^] # Re: Mikrotik et RouterOS

      Posté par  . Évalué à 2.

      Je me permet un retour d'experience sur Unifi; j'utilise la USG, un switch USW-8 PoE 60W et un UAP-LR. Controller sous Debian stable.

      Je te conseillerais plutôt de passer à la "dream machine" si tu as une connexion internet autre que de l'ADSL, l'USG ne peut pas gérer à la fois le filtrage GeoIP et l'IPS, et le débit est théoriquement limité quand l'IPS est actif.

      Unifi a récemment mis en place un magasin en ligne qui couvre l'UE (ainsi qu'un autre pour le Japon, mais on est sur linuxfr.org donc osef), ce qui permet d’éviter de commander sur amazon US (comme j'ai été oblige de le faire)
      <mylife>le distributeur officiel dans le pays dans lequel j'habite prenait 200% de marges, donc le fait d'avoir un magasin en ligne officiel est plutôt cool</mylife>

      Pour revenir sur l'aspect proprio de leurs produits; c'est proprio certes mais ça reste quand même assez ouvert; on a l’accès root sur tous les éléments du réseau. Il existe aussi par exemple la possibilité d'installer wireguard sur les gateway.

      Leur support est également à la hauteur; les techniciens sont réactifs et plutôt bons (par contre je ne sais pas si ils ont un support autre qu'en anglais). Quant aux mises a jour, rien à dire, fréquences soutenues, jamais eu de problème. On peut aussi facilement passer sur une distribution des firmwares en pre-release.

      Bref, retour positif en ce qui me concerne.

      • [^] # Re: Mikrotik et RouterOS

        Posté par  . Évalué à 2.

        La Dream Machine semble en effet intéressante mais il me faut aussi du PoE histoire de ne pas avoir à m'embêter avec l'alimentation.

  • # Non, j'utilise ma box internet

    Posté par  . Évalué à 4.

    + pare-feu logiciel sur chaque postes (iptables via shorewall pour mon cas), …

    • [^] # Re: Non, j'utilise ma box internet

      Posté par  (site Web personnel) . Évalué à 3. Dernière modification le 20/08/20 à 12:07.

      Pareil. D'ailleurs, sur le modem-routeur en question, c'est iptables aussi à tous les coups.

      • [^] # Re: Non, j'utilise ma box internet

        Posté par  . Évalué à 1.

        Il y a de plus en plus de migration par defaut vers nftables pour les distributions non specialisé.

        Par contre pour OpenWRT et les autres distributions specialisées ça doit demander un travail consequent sauf à utiliser les commandes de compatibilité qui utilisent la syntaxe iptables.

        Pour pfSence, c'est du BSD, donc si je dis pas de bêtise c'est du pf qui est utilisé.

  • # Flemingite aïgue...

    Posté par  (site Web personnel) . Évalué à 6.

    J'utilise les fonctions réseaux de ma box, même si je souhaiterais fortement m'en passer et utiliser une solution comme celles que tu as indiquées.
    Mon souhait date d'une époque lointaine où ma box (d'un fournisseur que j'ai abandonné depuis) avait un WiFi de + en + mauvais. J'avais contacté le support, et mon interlocuteur avait accès à toute mon configuration de box. Normal me direz-vous, comme ça on gagne du temps. Mais si je n'ai pas envie ? Si je veux garder pour moi les noms DNS de mes objets connectés, de mes canaux WiFi, etc.? Il n'y avait même pas de bouton "autoriser le partage avec le support"…
    Maintenant ce qui me fait hésiter c'est :
    * ajouter un nouvel appareil- qui va consommer de l'électricité
    * prendre le risque que les jeux en ligne des kids ne marchent- pas, ou qu'ils exigent de laisser n trous dans le firewall
    * devoir bidouiller ça chez soi, alors que le réseau prend- déjà la tête au boulot ;)
    Bravo en tout cas de l'avoir fait chez toi !

  • # Deux ou trois parefeu en série

    Posté par  (site Web personnel) . Évalué à 6. Dernière modification le 20/08/20 à 00:16.

    J'utise ma Freebox puis le parefeu de ma machine principale qui sert de passerelle et de parefeu pour mon LAN. De là, j'ai un routeur wifi qui permet de faire la liaison avec l'ordinateur de mon épouse.

    Ce n'est pas parfait mais je pense que c'est acceptable.

    J'avais visité une entreprise aéronautique qui utilisait 3 parefeux en série, un français, un américain et un israélien. Ils pensaient qu'ils avait tous leurs backdoors.

    • [^] # Re: Deux ou trois parefeu en série

      Posté par  . Évalué à 5.

      J'avais visité une entreprise aéronautique qui utilisait 3 parefeux en série, un français, un américain et un israélien. Ils pensaient qu'ils avait tous leurs backdoors.

      Je me demande si l'ordre dans lesquels tu les mets a un impact? Sinon il faut en mettre 18 avec toutes les permutations possibles!
      Uptime non garanti…
      ------> [ ]

    • [^] # Re: Deux ou trois parefeu en série

      Posté par  (site Web personnel) . Évalué à 8.

      J'avais visité une entreprise aéronautique qui utilisait 3 parefeux en série, un français, un américain et un israélien. Ils pensaient qu'ils avait tous leurs backdoors.

      Tout ça pour voir leurs données s’enfuir à cause d’employés qui ont accès à leurs locaux, c’est dommage. Je me moque un peu, mais les services informatiques ont souvent tendance à minimiser la faille humaine dans le système.

      Par exemple, une banque qui il y a 10 ans interdisait l’envoi de pièces jointes par mail et avait soudé les ports USB des ordinateurs des employés, pour être certains qu’aucun fichier non voulu ne rentrait dans le système – je vous laisse imaginer la galère dès qu’on devait leur fournir le moindre justificatif.

      Ce qui avait deux conséquences imprévues :

      • Plein de documents papier traînaient dans les bureaux (à portée de n’importe quel client), mais surtout
      • Énormément de justificatifs et de documents internes à la banque circulaient sur les comptes personnels des employés, puisque c’était le seul moyen vaguement pratique d’avoir les justificatifs (déjà souvent dématérialisés à l’époque, et tout le monde n’a pas accès à une imprimante).

      La connaissance libre : https://zestedesavoir.com | @spacefox@mastodon.spacefox.fr

      • [^] # Re: Deux ou trois parefeu en série

        Posté par  (site Web personnel, Mastodon) . Évalué à 3.

        J’ai connu ça dans une boite. On m’avait demandé si le nouveau dispositif qu’on installait (sur lequel je formais) était sûr et comment éviter que les données ne sortent de l’entreprise. La personne à qui j’ai répondu que le système le plus sûr du monde n’empêche pas que les gens puissent sortir les données de l’entreprise si elles peuvent les mettre sur un support mobile (cédérom, clé, etc.). L’argument a été balayé d’un grand geste de la main.

        « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

    • [^] # Re: Deux ou trois parefeu en série

      Posté par  . Évalué à 2.

      pendant longtemps la bonne pratique pour sécuriser les accès internet était d'avoir 2 firewall en série de marque différente.

      la logique était que si un hacker arrivait a entrer grâce une faille du 1er firewall, il ne pourrait pas utiliser la même sur le second.

      aujourd'hui encore j'ai l'impression que c'est beaucoup utilisé même si on m'a dit que c'etait en train d’évoluer et qu'il pouvait être préférable d'avoir 2 firewall qu'on maîtrise sur le bout des doigts plutot que 2 qu'on ne maitrise pas

      encore que on peut avoir 1 seul marque qu'on ne maîtrise pas, mais c'est encore un autre problème

      PS: c'est quoi le firewall français? car israélien je vois, américain, il y en a pléthore mais français …

  • # OpenMPTCProuter

    Posté par  . Évalué à 3.

    J'utilise OpenMPTCProuter (basé sur openwrt) ça me permet en même temps d’agréger une connexion ADSL et 4G et c'est dans VM sur une machine sous proxmox

  • # IPtables !

    Posté par  . Évalué à 2.

    J'utilise Raspbian sur un vieux RasberryPi avec IPtables configuré à la main (et quelques autres trucs, comme openvpn, pi-hole, bitorrent…)

    Ça marche très bien, pas cher, consomme rien du tout et est customisable à l'infini !
    Bon, ça prend un peu de temps mais ça fait partit du fun.

    • [^] # Re: IPtables !

      Posté par  . Évalué à 3.

      Par curiosité quel est l'architecture concernant les interfaces réseau ?
      J'envisageais de faire un truc comme ça mais une chose me freine, mon Pi n'a qu'une interface ethernet. J'aimerais éviter de dépendre du Wi-Fi que je ne souhaite pas activer en permanence.
      Donc il faudrait tout faire passer par la même interface physique, le côté box/internet et le côté réseau local (je ne parle même pas d'une éventuelle DMZ). Je saurais faire ça avec des VLAN taggés, mais quid de la performance si tout passe par le même tuyau.
      J'ai une bonne connexion fibre, je crains un peu le goulot d'étranglement.
      Est-ce que rajouter une prise via adaptateur USB-Ethernet serait une solution fiable à mon problème ?

  • # Ca apporte quoi ?

    Posté par  . Évalué à 7.

    Ca a l'air évident pour tout le monde ici, mais le pare-feu des box ont quoi qui ne convient pas pour un usage personnel ?
    Sur ma box il n'y a aucune connexion entrante sauf upnp et sauf si je le configure manuellement, du coup ce serait pareil avec un pare-feu supplémentaire.

    • [^] # Re: Ca apporte quoi ?

      Posté par  . Évalué à 4.

      ça permet d'avoir des setup du genre un /64 pour sonde atlas, un /64 pour le réseau guest, un /64 pour l'iot et un 64 pour l'utilisation normal. Ça permet d'avoir un vpn qui arrive chez soi.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Ca apporte quoi ?

        Posté par  . Évalué à 5.

        Ok mais ce que tu décris n'est pas un pare-feu mais un routeur et un VPN.

        • [^] # Re: Ca apporte quoi ?

          Posté par  . Évalué à 2.

          Si fais des réseaux différents pour des raisons de sécurité, tu as intérêt à mettre un parefeu entre tes réseaux.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Ca apporte quoi ?

            Posté par  (site Web personnel, Mastodon) . Évalué à 8.

            Est-ce qu'en utilisation domestique on a besoin d'une foultitude de réseaux ?

            « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

            • [^] # Re: Ca apporte quoi ?

              Posté par  . Évalué à 9.

              Cette discussion a eu lieu il y a 6 ans et a donné lieu à une foultitude de nourjaux à l'époque. En voici un qui devait être plutôt pertinent, si j'en juge par le nombre de plussages : https://linuxfr.org/users/elyotna/journaux/mon-reseau-a-moi

              Ça, ce sont les sources. Le mouton que tu veux est dedans.

              • [^] # Re: Ca apporte quoi ?

                Posté par  (site Web personnel, Mastodon) . Évalué à 6.

                En effet, excellent journal !
                C'est rassurant de penser qu'on a, finalement, un réseau domestique d'excellence (si on se base à l'aune de cet excellent journal).

                « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

  • # Pas encore…

    Posté par  . Évalué à 2.

    …mais j’y pense depuis un certain nombre d’années…Ça s’appelle la procrastination… ;)))

  • # Autre

    Posté par  . Évalué à 5.

    Christine inside, j'utilise OpenOffice.

  • # À poils

    Posté par  (site Web personnel) . Évalué à 3.

    • ☑ Non, pas même celui de ma box Internet

    Je veux bien par contre qu’on m’explique les soucis que ça pose. Jusqu’ici je me sens plutôt en sécurité mais ce n’est peut-être pas justifié ;)

    Je pars du principe que si mon système écoute sur un port donné, c’est que je veux que celui-ci soit joignable par l’extérieur. Donc j’ai du mal à comprendre la valeur ajoutée du pare-feu.

    • [^] # Re: À poils

      Posté par  . Évalué à 3. Dernière modification le 07/09/20 à 22:28.

      Si ton réseau n'héberge que des postes clients, je dirais que ça ne change pas grand chose.
      La question se pose quand tu héberges un service chez toi.

      Par exemple j'ai un NAS Synology à la maison, qui héberge un certain nombre de services. j'aime bien eu certains soient publics (accès web), et d'autres non (partages de fichiers locaux) ou restreints à quelques IP sûres (SSH).

      Rien de bien sorcier, et rien que la box de l'opérateur ne saurait gérer très bien.

      La question d'un équipement tiers se pose plutôt pour des questions de routage de mon point de vue.

      • [^] # Re: À poils

        Posté par  (site Web personnel) . Évalué à 1.

        Le cas que j’évoque concerne bien des services accessibles publiquement, mais aucune question de routage ne se pose directement : il n’y a qu’une seule et unique machine derrière cette IP (via un VPN fourni par Grifon, un excellent FAI associatif).

        Il existe aussi quelques services qui ne sont accessibles qu’au réseau local derrière ma box, cette machine étant aussi accessible via le réseau de celle-ci. Mais pas besoin dans ce genre de configuration de passer par un pare-feu pour imposer des restrictions, il suffit que les services n’écoutent que le réseau local de la box.

        À savoir que mes connaissances en réseau sont très basiques, alors j’ai peut-être écrit une énormité sans m’en rendre compte. Peut-être aussi que mon installation présente des failles de sécurité béantes ;)

  • # OpenOffice

    Posté par  . Évalué à 1.

    Les vrais savent !

    • [^] # Re: OpenOffice

      Posté par  . Évalué à 1.

      D’ailleurs, j’ai pas compris pourquoi ils l’ont enlevé lors du fork en libreoffice 😋

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.