Avoir un accés au web anonyme.

Avoir un accés au web anonyme. - Sécurité - Réseaux grand public / SoHo

Marsh Posté le 05-06-2015 à 23:43:47    

Bonsoir,
Je me sens très impliqué dans la conservation de mes données personnelles et dans la sécurité de ma vie privée (voir la cybersécurité tout court). Déjà, tout mes mots de passes sont dans une BDD chiffrée (merci Keypass).
Dans cette optique, j'ai investi dans un petit kimsufi (celui à 10€/mois, bien plus que suffisant) avec dans l'idée d'en faire mon point d'entrée dans le Web. L'idée est d'y monté : un VPN, un cloud perso (surement du owncloud), et un serveur mail. Le problème, c'est que je ne suis pas du tout dans le métier de sysadmin linux et j'ai une connaissance plutôt vague des protocoles réseaux. Aussi j'aimerai que vous me donniez quelques conseils (trucs à foutre sur sa bécane) pour bien faire tout ça.
J'ai donc commencé ce soir par sécuriser mon serveur : fail2ban,sécurisation de l'identification ssh (authentification par mdp désactivée = clé obligatoire, et user root banni), un firewall qui interdit tout le trafic entrant, mais laisse tout sortir (avec comme exception, le ssh, le http, le ftp), et un ptit script qui surveille les ports pour éviter qu'un bot chinois scan tout mes ports afin de trouver une vulnérabilité.
Je suis tout autant intéressé par mettre en place que par comprendre comment ça marche.
Donc, première question : est-ce que vous considérez que là, ça y est, je peut rentrer dans le vif du sujet et mettre openVpn ? Si oui, j'ai cru comprendre qu'il y avait plusieurs protocoles de chiffrement vis à vis du VPN, certains ayant des backdoor "officielles", lequel prendre (AES machin truc ?)
Merci d'avance :)

Reply

Marsh Posté le 05-06-2015 à 23:43:47   

Reply

Marsh Posté le 06-06-2015 à 00:19:19    

D'un certain côté, ton kimsufi tu le payes comment ?
Si "ils" sont intéressés par ce que tu fais, ils regarderont ce qui entre/sort de ton serveur.
Donc héberger ton serveur dans ton pays de résidence, là déjà c'est même pas la peine de parler de sécurité de ta vie privée...


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 06-06-2015 à 09:08:46    

Hum, j'y ai pensé ce matin en effet, dans l'idée, je mettrai en place un petit vpn entre mon serveur et un pays peu regardant (genre celui-là : https://www.ipredator.se/ ).
Là l'idée, c'est un peu de se servir de ce "pretexte" pour apprendre à sécuriser (relativement bien) une bécane sous debian et s'en servir pour mon petit confort personnel (vpn, cloud et tout le tralala).

Reply

Marsh Posté le 06-06-2015 à 11:54:29    

Tu as suivi un modèle pour ta sécurisation ? Ce genre-là ?
Dans ce cas plutôt que de voir pour une authentification SSH par clé publique/clé privée, j'utiliserais de l'OTP que je trouve plus facile et plus sécurisant... bah oui tu perds ta clé privé qui se trouve sur ton PC ou ta clé USB qui la contient qui crame, c'est le drame :o
Tu peux voir par exemple ici une explication du machin et comment le mettre en place, à adapter pour la montée de version de Debian entre-temps.
 
A ne pas oublier, Logwatch et le configurer pour qu'il t'envoie par mail le résultat des analyses régulièrement (t'es parano/machine de prod pour un gros site marchand -> 1 à 5 minutes, pour une utilisation classique -> 1 ou 6h)
 
Idem pour le script anti-bot chinois, l'utilisation de PortSentry ou de psad est plutôt pas mal foutu pour ça.
A voir aussi (même si ça fait un moment que je ne les utilise plus) rkhunter et chkrootkit. En effet si tu as des alertes avant leur niveau et que tu remarques que ton serveur est compromis, autant ne pas se faire chier et tout ré-installer. Ces 2 derniers programmes indiquant juste quels fichiers ont été modifié (pour simplifier).
Car autant ça peut être intéressant pour de l'analyse par la suite du comment tu as été piraté, mais en pratique à ton niveau ça ne sera pas intéressant.
 
A voir aussi si tu utilises ta Debian en VM : penser à sécuriser contre Venom :o


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 06-06-2015 à 12:21:27    

Merci beaucoup pour ta réponse, j'ai suivi ce modèle-ci à la lettre (plus ou moins, j'ai cherché à comprendre ce que l'on faisait).
Donc je vais regarder l'OTP, logwatch m'a l'air sympa, mais peut être un chouilla overkill, je vais voir si je l'installe, et si c'est le cas, je le mettrai plutôt sur 24h :)
PortSentry, c'est déjà fait. Je vais aussi voir pour chkrootkit tant qu'a faire.
J’utilise pas ma Debian en VM, donc je ne sécuriserai pas Venom :)
Merci vraiment pour tes réponses, je repasserai quand tout ceci sera fait !
 
Et après, la prochaine étape, c'est le cloud maison. J'avais déjà utilisé owncloud, et c'était parfait, cependant je suis curieux, et je voudrais savoir si il y d'autres projets sur le marché. Du coup ya quoi comme alternative ? :)

Reply

Marsh Posté le 06-06-2015 à 13:38:35    

Plutôt que owncloud, j'utilise plus "simplement" du webDAV avec authentification HTTPS [:spamatounet]  
Par la suite, montage direct en tant que lecteur réseau par \\yourserverfqdn@SSL\folder (\\tonserveur.chezovh.fr@SSL\tondossierpartagé_en_accès_webdav), sachant que pour du client Windows 7 il faut regarder ça.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 06-06-2015 à 16:14:13    

L'idée c'est quand même d'avoir une interface web, donc bien que tentante, je laisse tomber ta solution :) Je vais partir sur du bête owncloud, au mois ça marchera, tant pis pour l'originalité :)
Pour l'OTP, cela m'a l'air un peu trop prise de tête pour le coup, je laisse tomber...

Reply

Marsh Posté le 09-06-2015 à 07:19:53    

Bon, j'avance un peu, mais j'ai un soucis de configuration sur mon serveur:
hostname -f me renvoie à ça :
ns328945.ip-5-115-187.eu  
J'ai tenter de bidouiller le fichier /ect/hosts sans succès.
J'ai essayé pas mal de solution présentent sur le net, mais la plupart demandent de modifier des fichiers que je ne trouve pas sur ma bécane (genre http).
Vous avez une solution ? :)

Reply

Marsh Posté le 09-06-2015 à 08:00:45    

C'est normal, ça fait parti des options de personnalisation à l'installation... et tu ne peux pas les changer de toi-même pour mettre ce que tu veux, ça doit être lié à un nom de domaine que tu as.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 09-06-2015 à 08:34:06    

Hello tu peux configurer un serveur OpenVpn sur ton dédié et crée un client.
Tu fais une authentification par certificat (assez safe)
Pour le cryptage un clé dh de 2048 et un chiffrement en AES-256-CBC semble assez sécurisé.
Tu peux par exemple rediriger tout les flux de ton client OpenVpn vers le serveur.
 
Pour le prot (TCP ou UDP), Udp dans un soucis de performance est mieux mais est moins stable que le TCP (l'UDP n'est pas sensible à la perte de datagrammes << Merci Roude Leiw  :jap:  >> ).
 
Ps : Tu n'a au aucun cas besoins d'avoir un FQDN valide donc de toucher a ton hostname pour le serveur Openvpn.

Message cité 1 fois
Message édité par lolight le 09-06-2015 à 20:46:45
Reply

Marsh Posté le 09-06-2015 à 08:34:06   

Reply

Marsh Posté le 09-06-2015 à 20:38:30    

lolight a écrit :

Pour le prot (TCP ou UDP), Udp dans un soucis de performance est mieux mais est moins stable que le TCP (l'UDP ne vérifie pas l'intégrité des paquets).


 
Grosse aberration là ...
UDP vérifie l'intégrité des packets (checksum dans le header ...). C'est facultatif en IPv4 mais obligatoire en IPv6.
Tu voulais sans doute dire qu'UDP est peu (pas) sensible à la perte de datagrammes ... contrairement à TCP qui attends un SYNACK.
Il n'y a pas de "plus performant". Chaque protocole est plus ou moins adapté à la techno utilisée.


Message édité par Roude Leiw le 09-06-2015 à 20:39:29

---------------
' OR 1=1;--
Reply

Marsh Posté le 09-06-2015 à 20:45:58    

Oui effectivement, tu as raison j'ai confus, méa culpa j'édit :) .
 
Quand je parle de performance je prend en compte le débit qui légèrement plus élevé en UDP du au fait qu'il n'y a pas justement ce retour.
 
Personnellement je préconise plutôt le TCP mais chacun doit se faire un avis en connaissance de cause.  

Reply

Marsh Posté le 12-06-2015 à 20:50:43    

Je suis pas à ce point là de l'optimisation de performances.
Par contre ,je voulais monter un petit serveur IRC, et :
"apt-get install ircd-hybrid" me renvoie une erreur :
 

Code :
  1. Unpacking ircd-hybrid (from .../ircd-hybrid_1%3a7.2.2.dfsg.2-10_amd64.deb) ...
  2. dpkg: error processing /var/cache/apt/archives/ircd-hybrid_1%3a7.2.2.dfsg.2-10_amd64.deb (--install):
  3. subprocess new pre-installation script returned error exit status 1
  4. Errors were encountered while processing:
  5. /var/cache/apt/archives/ircd-hybrid_1%3a7.2.2.dfsg.2-10_amd64.deb


 
Bien sur la plupart des solutions sur internet ne marche pas. Et en plus j'ai fait le con, il y a eu un écran bleu me parlant de connexion SSL, et j'ai répondu sans réfléchir "no" (oui je sais, c'est vraiment, vraiment, vraiment pas bien  :non:  ).
Du coup, vous avez une idée de ce qu'il se passe ? Merci :)

Reply

Marsh Posté le 12-06-2015 à 22:57:39    

Quand je vois dans la liste des suggérés ici

sug: hybserv
Package not available


C'est plutôt moyen :o  
Installation par compilation ? Tu peux voir un exemple ici, il reste encore relativement à jour.
 
Par contre tu pourrais regarder aussi du côté de bwbar et te monter un serveur iPerf, c'est toujours pratique de savoir sa connexion au serveur :D


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 12-06-2015 à 23:22:25    

Merci pour l'installation par compilation, c'est top :D
Je vais regarder bwbar et iPerf, mais j'ai pas compris ce que tu veut dire par "savoir sa connexion au serveur" :)

Reply

Marsh Posté le 13-06-2015 à 13:09:03    

Vu que tu vas passer par du VPN, ça peut toujours être utile de connaitre le débit entre ton serveur et chez toi pour peaufiner les réglages et avoir le meilleur débit possible :D


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 13-06-2015 à 13:23:17    

Han, ça a l'air cool ça, je prends note !
Et je voudrais savoir si c'est possible que tout le trafic sortant de chez moi soit obligé de passer par le dédié ?
J'ai déjà regardé le menu de config de la box, et c'est pas gagné, car il n'y a rien de tel de proposé.
Un Rpi relié à la box ethernet et qui ferai office de relais wi-fi ?

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed