J'ai un P200 qui prend la poussière dans le bureau, je me demandait si
je ne le convertirais pas en pont filtrant sans IP pour ma liaison ADSL...
3 cartes réseau (extérieur, DMZ, LAN et peut-être une quatrième pour le
management). Ce sera à tout les coups plus sécurisé que mon serveur "à tout
faire" sans DMZ.
Je me demandais si :
1. sa présence est "détectable" (je pense qu'un pro poura noter sa présence)
2. est-il possible d'en prendre le contrôle autrement qu'en acces physique?
(faille de secu dans la pile TCP/IP?)
Question subsidaire: un P200 ça peut tenir le coup avec un snort-inline (ou
apparenté) sur de l'ADSL 4460/512 Kbps(FreeBSD)?
En fait je me demande comment implémenter un truc SOL (Sleep On LAN) pour envoyer gentillement au dodo les deux bécannes d'un coup...
C'est simple : achetes un onduleur de marque MGE, et tu pourra utiliser
NUT, LA référence pour la supervision d'onduleur en license GPL...
-- Rico
MaXX
Eric Belhomme wrote:
MaXX wrote in news:dkgd0a$r18$:
En fait je me demande comment implémenter un truc SOL (Sleep On LAN) pour envoyer gentillement au dodo les deux bécannes d'un coup... C'est simple : achetes un onduleur de marque MGE, et tu pourra utiliser
NUT, LA référence pour la supervision d'onduleur en license GPL... C'est une machine de leur gamme que je convoite, mais le problème c'est de
communiquer avec une bécane sans IP...
Je vais me documenter là dessus et voir si je réellement faire de l'IP less... Plus le temps passe et plus ça a l'air inutilement contraignant...
-- MaXX
Eric Belhomme wrote:
MaXX <bs139412@skynet.be> wrote in
news:dkgd0a$r18$1@talisker.lacave.net:
En fait je me demande comment implémenter un truc SOL (Sleep On LAN)
pour envoyer gentillement au dodo les deux bécannes d'un coup...
C'est simple : achetes un onduleur de marque MGE, et tu pourra utiliser
NUT, LA référence pour la supervision d'onduleur en license GPL...
C'est une machine de leur gamme que je convoite, mais le problème c'est de
communiquer avec une bécane sans IP...
Je vais me documenter là dessus et voir si je réellement faire de l'IP
less... Plus le temps passe et plus ça a l'air inutilement contraignant...
En fait je me demande comment implémenter un truc SOL (Sleep On LAN) pour envoyer gentillement au dodo les deux bécannes d'un coup... C'est simple : achetes un onduleur de marque MGE, et tu pourra utiliser
NUT, LA référence pour la supervision d'onduleur en license GPL... C'est une machine de leur gamme que je convoite, mais le problème c'est de
communiquer avec une bécane sans IP...
Je vais me documenter là dessus et voir si je réellement faire de l'IP less... Plus le temps passe et plus ça a l'air inutilement contraignant...
-- MaXX
Eric Belhomme
MaXX wrote in news:dkr5du$1nlf$:
Je vais me documenter là dessus et voir si je réellement faire de l'IP less... Plus le temps passe et plus ça a l'air inutilement contraignant...
tu peux attribuer une ip virtuelle à ton bridge, que tu utiliseras pour la
supervision -> ipconfig br0...
Tu peux aussi rajouter une interface dédiée à la supervision sur ton bridge, c'est plus "académique", mais aussi plus onéreux car pour rester cohérent, il te faut mettre en place un second réseau de supervision parallèle au réseau de "prod" donc équipement en double, ce qui est peut etre un peu excessif pour un réseau à la maison ;)
-- Rico
MaXX <bs139412@skynet.be> wrote in
news:dkr5du$1nlf$1@talisker.lacave.net:
Je vais me documenter là dessus et voir si je réellement faire de l'IP
less... Plus le temps passe et plus ça a l'air inutilement
contraignant...
tu peux attribuer une ip virtuelle à ton bridge, que tu utiliseras pour la
supervision -> ipconfig br0...
Tu peux aussi rajouter une interface dédiée à la supervision sur ton
bridge, c'est plus "académique", mais aussi plus onéreux car pour rester
cohérent, il te faut mettre en place un second réseau de supervision
parallèle au réseau de "prod" donc équipement en double, ce qui est peut
etre un peu excessif pour un réseau à la maison ;)
Je vais me documenter là dessus et voir si je réellement faire de l'IP less... Plus le temps passe et plus ça a l'air inutilement contraignant...
tu peux attribuer une ip virtuelle à ton bridge, que tu utiliseras pour la
supervision -> ipconfig br0...
Tu peux aussi rajouter une interface dédiée à la supervision sur ton bridge, c'est plus "académique", mais aussi plus onéreux car pour rester cohérent, il te faut mettre en place un second réseau de supervision parallèle au réseau de "prod" donc équipement en double, ce qui est peut etre un peu excessif pour un réseau à la maison ;)
-- Rico
Fabien LE LEZ
On 09 Nov 2005 07:24:48 GMT, MaXX :
C'est une machine de leur gamme que je convoite, mais le problème c'est de communiquer avec une bécane sans IP...
Mais une machine qui sert de pont (filtrant ou pas) peut avoir une IP, même si elle n'est pas visible dans les échanges normaux. D'ailleurs, les switchs haut de gamme en ont une.
On 09 Nov 2005 07:24:48 GMT, MaXX <bs139412@skynet.be>:
C'est une machine de leur gamme que je convoite, mais le problème c'est de
communiquer avec une bécane sans IP...
Mais une machine qui sert de pont (filtrant ou pas) peut avoir une IP,
même si elle n'est pas visible dans les échanges normaux.
D'ailleurs, les switchs haut de gamme en ont une.
C'est une machine de leur gamme que je convoite, mais le problème c'est de communiquer avec une bécane sans IP...
Mais une machine qui sert de pont (filtrant ou pas) peut avoir une IP, même si elle n'est pas visible dans les échanges normaux. D'ailleurs, les switchs haut de gamme en ont une.
MaXX
Eric Belhomme wrote:
MaXX wrote in news:dkr5du$1nlf$:
Je vais me documenter là dessus et voir si je réellement faire de l'IP less... Plus le temps passe et plus ça a l'air inutilement contraignant... tu peux attribuer une ip virtuelle à ton bridge, que tu utiliseras pour la
supervision -> ipconfig br0... ifconfig br0 me pose un problème, j'ai peur que l'adresse ne soit visible de
la DMZ ou de l'extérieur, mais je crois que freebsd permet d'assigner un ip à une interface membre du bridge (à vérifier)...
Tu peux aussi rajouter une interface dédiée à la supervision sur ton bridge, j'y ai pensé à 8? la carte réseau c'est pas vraiment un pb...
c'est plus "académique", mais aussi plus onéreux car pour rester cohérent, il te faut mettre en place un second réseau de supervision parallèle au réseau de "prod" donc équipement en double, ce qui est peut etre un peu excessif pour un réseau à la maison ;) Le côté excessif ne me fait pas peur (je suis excessif), c'est surtout le
câblage qui me fait peur, si je continue va faloir un rack pour tout garder propre, pour autant que ce terme puisse s'appliquer... ;-)
Merci en tout cas, -- MaXX
Eric Belhomme wrote:
MaXX <bs139412@skynet.be> wrote in
news:dkr5du$1nlf$1@talisker.lacave.net:
Je vais me documenter là dessus et voir si je réellement faire de l'IP
less... Plus le temps passe et plus ça a l'air inutilement
contraignant...
tu peux attribuer une ip virtuelle à ton bridge, que tu utiliseras pour la
supervision -> ipconfig br0...
ifconfig br0 me pose un problème, j'ai peur que l'adresse ne soit visible de
la DMZ ou de l'extérieur, mais je crois que freebsd permet d'assigner un ip
à une interface membre du bridge (à vérifier)...
Tu peux aussi rajouter une interface dédiée à la supervision sur ton
bridge,
j'y ai pensé à 8? la carte réseau c'est pas vraiment un pb...
c'est plus "académique", mais aussi plus onéreux car pour rester
cohérent, il te faut mettre en place un second réseau de supervision
parallèle au réseau de "prod" donc équipement en double, ce qui est peut
etre un peu excessif pour un réseau à la maison ;)
Le côté excessif ne me fait pas peur (je suis excessif), c'est surtout le
câblage qui me fait peur, si je continue va faloir un rack pour tout garder
propre, pour autant que ce terme puisse s'appliquer... ;-)
Je vais me documenter là dessus et voir si je réellement faire de l'IP less... Plus le temps passe et plus ça a l'air inutilement contraignant... tu peux attribuer une ip virtuelle à ton bridge, que tu utiliseras pour la
supervision -> ipconfig br0... ifconfig br0 me pose un problème, j'ai peur que l'adresse ne soit visible de
la DMZ ou de l'extérieur, mais je crois que freebsd permet d'assigner un ip à une interface membre du bridge (à vérifier)...
Tu peux aussi rajouter une interface dédiée à la supervision sur ton bridge, j'y ai pensé à 8? la carte réseau c'est pas vraiment un pb...
c'est plus "académique", mais aussi plus onéreux car pour rester cohérent, il te faut mettre en place un second réseau de supervision parallèle au réseau de "prod" donc équipement en double, ce qui est peut etre un peu excessif pour un réseau à la maison ;) Le côté excessif ne me fait pas peur (je suis excessif), c'est surtout le
câblage qui me fait peur, si je continue va faloir un rack pour tout garder propre, pour autant que ce terme puisse s'appliquer... ;-)
Merci en tout cas, -- MaXX
Manu
MaXX wrote:
Je vais me documenter là dessus et voir si je réellement faire de l'IP less... Plus le temps passe et plus ça a l'air inutilement contraignant...
Une solution intermédiaire serait de faire du "port knocking" avec une adresse IP en aliasing, filtrée en temps normal mais avec une porte dérobée vers SSH qui souvrirait par "port-knocking" (avec le filtre 'recent'). Porte refermable également par "port knocking". J'ai vu un script utilisant cette technique, qui avait l'air plus compliqué que nécessaire, mais qui en définitive se prémunissait des scans de ports; mais seulement si le scan de port se faisait de façon séquentielle (port 20, port 21, port 22...).
MaXX wrote:
Je vais me documenter là dessus et voir si je réellement faire de l'IP
less... Plus le temps passe et plus ça a l'air inutilement contraignant...
Une solution intermédiaire serait de faire du "port knocking" avec une
adresse IP en aliasing, filtrée en temps normal mais avec une porte
dérobée vers SSH qui souvrirait par "port-knocking" (avec le filtre
'recent').
Porte refermable également par "port knocking". J'ai vu un script
utilisant cette technique, qui avait l'air plus compliqué que
nécessaire, mais qui en définitive se prémunissait des scans de ports;
mais seulement si le scan de port se faisait de façon séquentielle (port
20, port 21, port 22...).
Je vais me documenter là dessus et voir si je réellement faire de l'IP less... Plus le temps passe et plus ça a l'air inutilement contraignant...
Une solution intermédiaire serait de faire du "port knocking" avec une adresse IP en aliasing, filtrée en temps normal mais avec une porte dérobée vers SSH qui souvrirait par "port-knocking" (avec le filtre 'recent'). Porte refermable également par "port knocking". J'ai vu un script utilisant cette technique, qui avait l'air plus compliqué que nécessaire, mais qui en définitive se prémunissait des scans de ports; mais seulement si le scan de port se faisait de façon séquentielle (port 20, port 21, port 22...).
Pascal
Salut,
tu peux attribuer une ip virtuelle à ton bridge, que tu utiliseras pour la supervision -> ipconfig br0...
Pourquoi "virtuelle" ?
Salut,
tu peux attribuer une ip virtuelle à ton bridge, que tu utiliseras pour la
supervision -> ipconfig br0...
tu peux attribuer une ip virtuelle à ton bridge, que tu utiliseras pour la supervision -> ipconfig br0...
Pourquoi "virtuelle" ?
MaXX
Manu wrote:
MaXX wrote:
Je vais me documenter là dessus et voir si je réellement faire de l'IP less... Plus le temps passe et plus ça a l'air inutilement contraignant... Une solution intermédiaire serait de faire du "port knocking" avec une
adresse IP en aliasing, filtrée en temps normal mais avec une porte dérobée vers SSH qui souvrirait par "port-knocking" (avec le filtre 'recent'). Porte refermable également par "port knocking". J'ai vu un script utilisant cette technique, qui avait l'air plus compliqué que nécessaire, mais qui en définitive se prémunissait des scans de ports; mais seulement si le scan de port se faisait de façon séquentielle (port 20, port 21, port 22...). Je vois l'idée, je vais noter ça dans un coin, y'a juste que pour les cas
d'urgence (ex: UPS à plat) faut faire confiance à son script...
Merci du tuyau, je vais faire un tour sur google, -- MaXX
Manu wrote:
MaXX wrote:
Je vais me documenter là dessus et voir si je réellement faire de l'IP
less... Plus le temps passe et plus ça a l'air inutilement
contraignant...
Une solution intermédiaire serait de faire du "port knocking" avec une
adresse IP en aliasing, filtrée en temps normal mais avec une porte
dérobée vers SSH qui souvrirait par "port-knocking" (avec le filtre
'recent').
Porte refermable également par "port knocking". J'ai vu un script
utilisant cette technique, qui avait l'air plus compliqué que
nécessaire, mais qui en définitive se prémunissait des scans de ports;
mais seulement si le scan de port se faisait de façon séquentielle (port
20, port 21, port 22...).
Je vois l'idée, je vais noter ça dans un coin, y'a juste que pour les cas
d'urgence (ex: UPS à plat) faut faire confiance à son script...
Merci du tuyau, je vais faire un tour sur google,
--
MaXX
Je vais me documenter là dessus et voir si je réellement faire de l'IP less... Plus le temps passe et plus ça a l'air inutilement contraignant... Une solution intermédiaire serait de faire du "port knocking" avec une
adresse IP en aliasing, filtrée en temps normal mais avec une porte dérobée vers SSH qui souvrirait par "port-knocking" (avec le filtre 'recent'). Porte refermable également par "port knocking". J'ai vu un script utilisant cette technique, qui avait l'air plus compliqué que nécessaire, mais qui en définitive se prémunissait des scans de ports; mais seulement si le scan de port se faisait de façon séquentielle (port 20, port 21, port 22...). Je vois l'idée, je vais noter ça dans un coin, y'a juste que pour les cas
d'urgence (ex: UPS à plat) faut faire confiance à son script...
Merci du tuyau, je vais faire un tour sur google, -- MaXX
MaXX
MaXX wrote:
Manu wrote:
MaXX wrote:
Je vais me documenter là dessus et voir si je réellement faire de l'IP less... [...] Une solution intermédiaire serait de faire du "port knocking" avec une
adresse IP en aliasing, filtrée en temps normal mais avec une porte dérobée vers SSH qui souvrirait par "port-knocking" (avec le filtre 'recent'). Porte refermable également par "port knocking". J'ai vu un script utilisant cette technique, qui avait l'air plus compliqué que nécessaire, mais qui en définitive se prémunissait des scans de ports; mais seulement si le scan de port se faisait de façon séquentielle (port 20, port 21, port 22...). Je vois l'idée, je vais noter ça dans un coin, y'a juste que pour les cas
d'urgence (ex: UPS à plat) faut faire confiance à son script... [...]
J'ai trouvé Doorman qui a l'air vraiment pas mal et plus sécurisé (je pense) que le système de scan séquenciel... (secret et un hash md5, gestion de groupes) (http://doorman.sourceforge.net)
Quelqu'un le connaît? Je crois que je vais utiliser ça... Hop! du câble en moins! -- MaXX
MaXX wrote:
Manu wrote:
MaXX wrote:
Je vais me documenter là dessus et voir si je réellement faire de l'IP
less...
[...]
Une solution intermédiaire serait de faire du "port knocking" avec une
adresse IP en aliasing, filtrée en temps normal mais avec une porte
dérobée vers SSH qui souvrirait par "port-knocking" (avec le filtre
'recent').
Porte refermable également par "port knocking". J'ai vu un script
utilisant cette technique, qui avait l'air plus compliqué que
nécessaire, mais qui en définitive se prémunissait des scans de ports;
mais seulement si le scan de port se faisait de façon séquentielle (port
20, port 21, port 22...).
Je vois l'idée, je vais noter ça dans un coin, y'a juste que pour les cas
d'urgence (ex: UPS à plat) faut faire confiance à son script...
[...]
J'ai trouvé Doorman qui a l'air vraiment pas mal et plus sécurisé (je pense)
que le système de scan séquenciel... (secret et un hash md5, gestion de
groupes)
(http://doorman.sourceforge.net)
Quelqu'un le connaît?
Je crois que je vais utiliser ça... Hop! du câble en moins!
--
MaXX
Je vais me documenter là dessus et voir si je réellement faire de l'IP less... [...] Une solution intermédiaire serait de faire du "port knocking" avec une
adresse IP en aliasing, filtrée en temps normal mais avec une porte dérobée vers SSH qui souvrirait par "port-knocking" (avec le filtre 'recent'). Porte refermable également par "port knocking". J'ai vu un script utilisant cette technique, qui avait l'air plus compliqué que nécessaire, mais qui en définitive se prémunissait des scans de ports; mais seulement si le scan de port se faisait de façon séquentielle (port 20, port 21, port 22...). Je vois l'idée, je vais noter ça dans un coin, y'a juste que pour les cas
d'urgence (ex: UPS à plat) faut faire confiance à son script... [...]
J'ai trouvé Doorman qui a l'air vraiment pas mal et plus sécurisé (je pense) que le système de scan séquenciel... (secret et un hash md5, gestion de groupes) (http://doorman.sourceforge.net)
Quelqu'un le connaît? Je crois que je vais utiliser ça... Hop! du câble en moins! -- MaXX
Eric Belhomme
"" wrote in news:dku2qj$1r73$:
tu peux attribuer une ip virtuelle à ton bridge, que tu utiliseras pour la supervision -> ipconfig br0...
Pourquoi "virtuelle" ?
je me suis mal exprimé : ce n'est pas l'IP qui est virtuelle, mais
l'interface br0, qui représente le bridge entre 2 interfaces physiques...
-- Rico
"Pascal@plouf" <boite-a-spam@plouf.fr.eu.org> wrote in
news:dku2qj$1r73$2@biggoron.nerim.net:
tu peux attribuer une ip virtuelle à ton bridge, que tu utiliseras
pour la supervision -> ipconfig br0...
Pourquoi "virtuelle" ?
je me suis mal exprimé : ce n'est pas l'IP qui est virtuelle, mais
l'interface br0, qui représente le bridge entre 2 interfaces physiques...
