Architecture et logiciels pour avoir un minimum de sécurité à la maison
Par Bertrand Arquilliere le vendredi 13 juillet 2007, 10:34 - Sécurité des SI - Lien permanent
Dans ce billet je vais vous présenter l'architecture et les logiciels que j'utilise à titre privée, chez moi, pour garantir un tant soit peu la sécurité de mes machines.
Suite à mon précédent billet, je me suis rendu compte que pour beaucoup de particuliers, la sécurité de ses ordinateurs domestiques est un vrai casse-tête, beaucoup se contentent d'une machine pas forcément à jour, et d'un logiciel anti-virus qui n'est pas forcément à jour non plus.
Je vais tenter de vous présenter ici comment j'ai sécurisé mon réseau à la maison afin de me mettre à l'abri des virus, troyens et autres malware. Nous verrons dans un premier temps l'architecture que j'ai déployé, à moindre frais, et enfin les logiciels que j'utilise.
- ARCHITECTURE :
Un schéma vaut mieux qu'un long discours, voici donc un schéma succinct de l'architecture de mon réseau privée.
Quelques détails :
- Mon modem ADSL est une boîte fournie par mon fournisseur d'accès avec mon abonnement ADSL, j'ai désactivé dessus la fonction WIFI et la fonction DHCP. De même, alors que mon adresse IP publique est fournie par mon FAI, je lui ai attribué une adresse interne (non routable) en 192.168.0.x et activé dessus la fonction de masquerading (certains appellent ça NAT : Network Adress Translation).
- Mon Firewall est une vieille machine (P2 500 Mhz avec 512 Mo de RAM), sur lequel j'ai installé un GNU-Linux (Redhat), configuré en firewall avec iptables, ce firewall est la passerelle obligatoire pour mon réseau privée et pour ma DMZ, il dispose de trois cartes réseaux appartenant chacune à des réseaux différents : 192.168.0.0/24, 192.168.1.0/24 et 192.168.2.0/24. La fonction de routage est activée sur cette machine GNU-Linux. La "patte" sur le réseau 192.168.0.0/24 est directement reliée à mon modem ADSL, la "patte" sur le réseau 192.168.1.0/24 est relié à un hub qui dessert mon réseau privée, et enfin la "patte" 192.168.2.0/24 est reliée directement sur mon PC qui tient lieu de serveur Web et de Filer.
Or coût des PC dans le réseau privée et de mon serveur, il y a là pour environ 150 euros TOUT COMPRIS (+ abonnement ADSL).
- SERVICES ET APPLICATIONS :
- Modem : Sur le modem, tout le trafic entrant est redirigé sur le firwall,grâce à l'interface d'administration du dit modem. Rien de particulier à signaler.
- Firewall : En plus de sa fonction de firewall, cette machine me sert de proxy HTTP (SQUID) et anti SPAM (Spam Assassin). Cette machine est chargée de récupérer mes mails sur Internet + antivirus grâce au Milter Clamav, et c'est donc sur elle que je vais les chercher (mes emails) depuis mon réseau privée. Ceci est réalisable grâce à l'installation de Sendmail (oui je suis un dinosaure et je ne suis pas passé à Postfix). Coût des licences des logiciels : 0 €
- Serveur Web : C'est une machine Windows 2000, sur laquelle tourne un serveur Apache afin de servir les pages de mon site personnel, elle est accessible depuis Internet par, une redirection d'adresse sur le modem, et du routage sur le firewall, ainsi que d'un abonnement (gratuit) à dyndns. Coût des licences : Une licence Windows 2000 (Aucune idée du prix aujourd'hui). Cette machine est protégée par Un antivirus : Norton Antivirus 2002 (30 €/an). Deux anti-malwares : Spyware Blaster (0€) et ad-aware 2007 (0€), un outil de surveillance de la base de registre (Emet une alerte chaque fois qu'un soft essaye d'écrire dans la base de registre, c'est à moi d'accepter ou de refuser) : TcMonitor (0€)
- Réseau privée : L'ensemble de mes machines présentes sur le réseau privée est protégé par Ad-aware, spyware blaster et l'antivirus Kaspersky (60 € pour deux machines). Je complète la sécurité de mon surf en utilisant Firefox avec quelques addons dont l'excellent "NoScript"". Afin de supprimer définitivement les fichiers de mes machines j'utilise "eraser" et j'envoie mes mails depuis Thunderbird, tous mes mails sont signés avec GPG.
- COUT TOTAL DES MESURES DE PROTECTION :
Or coût des licences Windows 2000 et XP, les outils de protection et/ou de services sont pour la majorité des logiciels libre et gratuit (Logiciel libre ne veut pas dire logiciel gratuit !).
J'ai donc une licence Norton qui me coûte 30 € /an, et une licence Kapersky pour deux PCs qui coûte 60 € à l'achat (je ne suis pas encore au renouvellement de licence donc je ne connais pas le prix annuel).
Total : Un PC Firewall à moins de 150 € et 90 € de licences pour les antivirus soit 240 €. Ce qui ne fait pas bien cher par rapport à la relative tranquilité que j'ai face au virus et autres tentatives d'attaques sur mon serveur Web. Le masquerading sur le serveur Web décourage beaucoup de pseudo hackers, et je surfe en toute tranquilité grâce à Firefox plus quelques addons de sécurité.
Liens vers le téléchargement des outils cités :
spyware blaster
Ad-aware
kaspersky
Norton AV
TcMonitor
Firefox
NoScript
Apache
Sendmail
Clamav
eraser
Voilà si j'ai oublié quelque chose, si vous souhaitez plus d'explications, ou un coup de main pour vous aider à sécuriser un peu votre chez-vous, n'hésitez pas à me contacter.
PS : Le concours de l'été bat son plein merci de voter pour ce blog et gagnez peut être un Ipod 2Go 
Commentaires
J'ai trouvé une solution aux virus moins coûteuse à long terme : le Mac !
A ben oui j'oubliais : le vendredi c'est "trolly", et dire que j'ai failli tomber dedans
FmR, j'espère que tu as voté pour mon blog après avoir tenté de me faire tomber dans un troll !
Oui, j'aime bien taquiner les pros de l'informatique avec les Mac, c'était un peu gros comme piège.
Malheureusement je n'ai pas le droit de voter pour ton blog, c'est dans le règlement. Mais je suis bête, tu l'as certainement lu pour y trouver une faille de sécurité ! J'ai failli me prendre un troll du vendredi aussi ;-p
1 partout balle au centre
Salut, en firewall j'aurais choisi IpCop (http://www.ipcop.org) car beaucoup plus simple à administrer pour un non informaticien. En plus il est moins gourmand qu'une autre distribution puisqu'il est basé sur une version spécial temps réel de linux. Par exemple je l'ai installé comme passerelle/firewall pour un parc de 20 machines sur un P2 300 avec 512 de mémoires. Les plus gros consommation sont à 12h avec un peu moisn de 40% d'utilisation du processeur.
çà fait du bien d'avoir les conseils d'un expert sur ce sujet ! Comme tu dis, pour les novices (comme moi), ce n'est pas toujours évident de s'y retrouver dans ce domaine. Merci !
En fait un réseau "standard" d'entreprise répliqué à la maison.
A peu près le même schéma pour moi , avec ma slack en parefeu avec le serveur Apache et le nat dessus .
Derrière un routage pour le Wifi (j'aime bien faire plaisir à mes voisins , avec un bon log du squid quand même)
Par contre je comprends pas bien le choix d'un serveur Win avec Apache dessus ? Est ce pour ségmenter tes OS (tu aurais alors pu prendre une autre distrib ) ou alors parceque tu avais une licence Micro$oft dispo ?
Apache sur un Windows 2000 pour la simple raison qu'au départ, je n'avais qu'un seul PC à la maison et comme je jouais beaucoup (Everquest à l'époque), ben j'avais besoin d'un Windows. Lorsque je me suis équipé avec un PC taillé pour le jeu, j'ai gardé mon ancien PC et sa licence Win2k ainsi que l'Apache qu'il tourne depuis longtemps. Effectivement avec le temps, je pourrais sauver mon site et me monter un Apache GNU-Linux ... Mais ça serait moins drôle pour mes pen-tests le soir lorsque ma chère épouse est en vadrouille
Je viens lire ta réponse et je m'aperçois : "Hô honneur et dévouement " que tu a placé le lien de mon blog dans tes liens A voir absolument.
Je suis plus que touché par cette url .
Enfin pour continuer c'est vrai que beaucoup de tech/Ingenieur informatique on jouer a un moment ou a un autre (pour moi c'est metroid sur Apple IIc sic )
si je peut prendre contact avec toi par mail pour te poser les questions qui me sont resté sans réponses
Enfin pour finir j'ai vu que tu utilisais sendmail et là je dois avouer que je suis couac.
J'ai essayé de le mettre en place plusieurs fois sans jamais trouvé de solutions à la réécriture des adresses.
Alors en ayant assez de me casser les dents sur ces macro M4 je suis passé a postfix .
Mais j'ai un arrière gout dans la bouche et plus pour la beauté du geste que pour l'utilité je souhaiterais vraiement comprende sendmail.
Aussi je te demande (encore humblement
(nb: ce sera en septembre car je suis bientôt en vacances)
Merci pour tout ,
sam
OK Sam, pas de soucis.
Je serai pas super disponible début septembre mais je répondrai avec plaisir à tes questions sur Sendmail.
Mon email ce trouve dans mon CV, je te laisse le soin d'aller le récupérer.
Très complet et particulièrement intéressant., sans pour autant faire dans la parano (tu sais que c'est le reprocjhe que l'on fait parfois aux experts Sécurité !!!).
Je diffuse ton plan d'action dans mon entourage.
Cordialement,
Parano ... si c'était le seul reproche qu'on faisait aux responsables sécurité en entreprise, ça serait bien. Dans ma courte carrière j'ai reçu des mails me traitant de :
- Fachiste (Je voulais empêcher les utilisateurs de faire du P2P depuis le réseau de l'entreprise)
- Parano (Le grand classique)
- illuminé ( ??)
- Zorro / justicier numèrique
... et j'en passe
Et enfin la phrase qui revient souvent :
Quand tout va bien sur un réseau, on pense que le RSSI se barbouille le nombril toute la journée. Dès qu'il y a un incident de sécurité, on pense que le RSSI est un incompétent.