Catégories
sysadmin

Fail #001 – Firewall Box Opérateur

Bon je commence une nouvelle série de posts, concernant les petits fails sécurité, admin ou les 2 rencontrés dans notre quotidien.

Livebox v4

On pourrait se demander pourquoi garder un firewall aussi peu facile à configurer, et très peu lisible dans sa manière de fonctionner… Mais n’ayant finalement pas grand chose à protéger, je me dis qu’il est naturel de garder ce qui est fourni par défaut.

De plus j’ai petit à petit pris des décisions économiques en supprimant tout ce qui pouvait consommer plus de 50W en fonctionnement continu. Ces décisions font qu’aujourd’hui je n’ai pas forcément les moyens de déployer un pare-feu sur mon infra actuelle.

Configuration du firewall

Il est possible de passer en « élevé » ou « personnalisé », par défaut le « personnalisé » intègre les règles qui existent en « élevé ». A terme je passera certainement en « personnalisé », mais je reste en « moyen » pour l’instant.

Fail

Mon erreur vient du fait que j’ai configuré une IP en DMZ, pour des tests et que je n’ai pas enlevé cette IP une fois les tests terminés. En effet par défaut la Livebox va prendre en premier les règles NAT/PAT pour rediriger vers les services que vous avez derrière le firewall. Puis la Livebox va mapper tous les ports vers le serveur que vous avez mis en DMZ.

Je m’en suis rendu compte qu’après quelques temps à l’occasion d’un Nmap lancé depuis un VPS.

Conclusion

Faire des scans de temps en temps sur vos services peut remonter des oublis ou dysfonctionnements sur vos « homelabs ». Comme on y accorde pas forcément autant de temps et de précision qu’un réseau de production. Mais en parallèle j’avais commencé à réfléchir à des alternatives, vu que la Livebox est avare en logs, notamment ce genre de carte, mais je ne l’ai pas encore achetée. Et cela veut dire potentiellement d’acheter plus de matériels, comme switchs et routeur Wifi.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *