Séparer internet du reste : ai-je tout bien compris ?

Séparer internet du reste : ai-je tout bien compris ? - Sécurité - Réseaux grand public / SoHo

Marsh Posté le 05-02-2017 à 15:46:05    

Hello :)
 
J'aimerais séparer tout ce qui est trafic web du réseau local.
 
J'ai une configuration toute simple : NAS et box sur un même hub/switch (je ne sais jamais lequel est lequel, de mémoire c'est un truc moderne en Gbps). Ordis connectés en RJ45 ou en Wifi. RJ45 sur le hub, wifi sur la box.
 
Actuellement, mon ordi principal - Windows - est à la fois connecté au web et au NAS (syno, disques réseaux).
 
Mon objectif : qu'il n'y ait pas de lien possible entre ce qui vient de dehors (web) et le NAS (que ce soit via un navigateur/site, un accès extérieur non autorisé, un ransomware etc).
 
Je pédale cependant un peu dans la choucroute dans les différentes techniques / possibilités existantes.
 
Si j'ai bien tout compris, je peux :
 
Faire deux réseaux différents.
Un local, un web. Je pourrais faire ça en utilisant un VLAN si mon routeur (dans ce cas-ci, ma box) l'accepte (possibilité d'acheter un autre routeur).
Par contre mon ordi restera une passerelle potentielle : qu'importe qu'il y ait deux réseaux différents si le pc est à la fois connecté au NAS et au web, non ? À quoi peut donc bien servir d'utiliser un réseau séparé dans ce cas ? En plus j'ai l'impression sur la fonction NAT d'un routeur fait déjà une sorte de découplement.  
 
Naviguer en machine virtuelle
Ne seraient autorisés, sur le pc, que les connexions liées au mail et aux mises à jour Windows.
La machine virtuelle (faisant tourner un Linux servant uniquement à surfer) aurait accès au web et pas au réseau local (restriction via le firewall tournant sur Windows).
 
Dans ce dernier cas, j'aurais une séparation entre tout ce qui vient du web et tout ce qui est local.
 
Resterait à régler l'accès :
- du NAS aux mises à jour de synology (même s'il n'y en a plus eu depuis un bail, pour les DSM 5.x)
- du pc Windows à tout ce qui pourrait être téléchargé depuis le web (mises à jour antivirus / firewall / divers programmes...). Je pensais faire un répertoire spécial sur le NAS ("transfert" ) qui serait utilisable à la fois par la machine virtuelle et Windows.
 
Par contre, si la VM a accès à un répertoire du NAS, qui me dit qu'un ransomware ne pourrait pas avoir accès au reste du NAS ? Les répertoires de données n'aurait évidemment pas les mêmes login/pass que la VM.
 
Bref, malgré qq lectures avant de poster, je crois que je mélange encore un tas de trucs...
 
Si vous avez de quoi m'éclairer, merci :-) :jap:

Reply

Marsh Posté le 05-02-2017 à 15:46:05   

Reply

Marsh Posté le 06-02-2017 à 16:05:41    

Hello,
3 philosophies s'offrent à toi :

 
  • Sensibiliser tous les usagers de ton LAN afin qu'ils n'ouvrent/n'installent pas bêtement des fichiers de source inconnue


Citation :

Les modes d’infection des ransomwares :

 

Un e-mail frauduleux (dans lequel se trouve une pièce jointe infectée)
Un site internet compromis ou malveillant
Une installation de logiciel de source non fiable
Les réseaux sociaux (qui facilitent le social engineering)
(Source : stormshield.eu)

 

=> L'éducation permet d'éviter de se torturer l'esprit à vouloir surprotéger son LAN au point que ça en devienne ingérable... c'est une option à prendre en compte.

 
  • Effectuer des sauvegardes sur stockage USB que tu débranches après chaque opération.


  • Sécuriser tes partages réseaux en les protégeant par un mot de passe qui ne soit pas enregistré côté client. Tu peux également changer le mode de partage réseau en désactivant Samba (partage Windows) sur ton NAS et en faisant tes transferts via FTP. Les ransomwares ne sont pas en mesure d'infecter du stockage FTP.


Voilà, c'est pas exhaustif mais ce sont les points les plus importants qui me viennent à l'esprit.
@+


Message édité par Faboss le 06-02-2017 à 16:07:01

---------------
Ôôôôôh les beaux navions .:':. Rénovation vieilles consoles .:':. PS Vita
Reply

Marsh Posté le 06-02-2017 à 16:57:12    

Merci pour ta réponse !
 
-> éducation : on est tout de suite deux, et sensibilisés. Je me considère comme très sensibilisé, mais les méthodes sont de plus en plus pointues et on n'est jamais à l'abri d'une erreur/fatigue/envie d'aller vite etc.
-> stockage : je stocke mes fichiers sur le NAS. Backup en USB va suivre (je ne pensais par contre pas le "démonter" après chaque utilisation). Le mot de passe est stocké dans Keepass. Par contre, quand je suis connecté à un dossier du NAS, j'imagine qu'un logiciel malveillant y a tout autant accès ?
 
Le FTP permettrait d'avoir des lecteurs réseaux faciles à utiliser / un débit correct ? (réseau en Gbps, vitesse d'écriture vers 33 mo/s). Et ces lecteurs resteraient inaccessibles à un malware même si je suis connecté dessus ?

Reply

Marsh Posté le 06-02-2017 à 22:46:25    

Aucune idée concernant keepass...
 
Pour l'usb, je pense qu'il est préférable de débrancher après chaque sauvegarde. Le but étant de ne pas laisser ce stockage accessible en cas d'infection.
 
Le FTP ne permet pas de monter de lecteur réseau.
Il faut utiliser un logiciel dit "client ftp" comme filezilla par exemple.
Le débit est d'ailleurs sensiblement plus élevé en ftp qu'en partage windows généralement.


---------------
Ôôôôôh les beaux navions .:':. Rénovation vieilles consoles .:':. PS Vita
Reply

Marsh Posté le 07-02-2017 à 13:06:51    

Le plus simple ne serait pas d'utiliser le pare-feu du nas pour interdire tout traffic que une IP qui n'est pas locale ? (En utilisant les masques de sous réseau)
Puis de faire comme proposé par (la personne avant moi) de désactiver le smb et de configurer le ftp sur le nas avec des mots de passe.


---------------
Mes ventes : [FeedBack] http://forum.hardware.fr/hfr/Achat [...] 4599_1.htm
Reply

Marsh Posté le 07-02-2017 à 13:16:59    

Tiens, voilà un article tout frais trouvé sur Zataz qui évoque le sujet et les conseils pour se protéger de ce genre d'attaque : http://www.zataz.com/ransomware-fl [...] treprises/

 

MilesTEG1, ta réflexion me semble erronée car le ransomware s'installe sur une machine du LAN et va ensuite crypter les données locales ou en partage réseau.
Les autres machines du LAN qui partageraient leurs fichiers verraient une demande provenir d'une machine, certes infestée, mais du même LAN. Donc le parefeu ne servirait à rien... et laisserait passer ce flux légitime.

 

Bifidusse, faudrait que tu changes le titre du topic parce qu'il est mal choisi. Tu peux mettre par exemple, "Comment se protéger des ransomwares ?". Ce serait plus parlant et ça attirerait probablement plus de monde.


Message édité par Faboss le 07-02-2017 à 13:18:15

---------------
Ôôôôôh les beaux navions .:':. Rénovation vieilles consoles .:':. PS Vita
Reply

Marsh Posté le 07-02-2017 à 14:55:21    

Faboss a écrit :

Aucune idée concernant keepass...
 
Pour l'usb, je pense qu'il est préférable de débrancher après chaque sauvegarde. Le but étant de ne pas laisser ce stockage accessible en cas d'infection.
 
Le FTP ne permet pas de monter de lecteur réseau.
Il faut utiliser un logiciel dit "client ftp" comme filezilla par exemple.
Le débit est d'ailleurs sensiblement plus élevé en ftp qu'en partage windows généralement.


 
Dommage pour le FTP. J'utilise le lecteur réseau pour avoir accès aux fichiers de la même manière qu'en local.
 
Rien ne m'empêche, cela dit, de faire le backup en FTP. Et encore : si le répertoire de backup n'est pas accessible autrement qu'en allant chercher et brancher physiquement le disque de backup qq part, j'imagine qu'un ransomware ne peut pas se connecter au NAS et aller chercher un répertoire connu par le NAS mais inaccessible depuis le pc. Sauf à infecter le DSM (pour un synology du moins).
 
edit : pas vu les dernières réponses :/
 
Pour le titre : on a dévié sur le ransomware parce que c'est un type d'attaque que je verrais bien contrecarrée par une machine virtuelle Linux qui ne servirait qu'à surfer.
 
Je reste intéressé par connaître l'intérêt de séparer les trafics locaux / web. Curieusement je ne suis pas encore parvenu à comprendre l'intérêt de la chose.
 
Mais je peux splitter les sujets  :jap:  
 


Message édité par bifidusse le 07-02-2017 à 14:58:43
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed