This is a multi-part message in MIME format.

Qm9uam91ciDDoCB0b3V0ZXMgZXQgdG91cywKCkTDqXNvbMOpIHBvdXIgY2V0dGUgZGVtYW5kZSB1 biBwZXUgSFMsIG1haXMgamUgbmUgc2F1cmFpcyBwYXMgbCfDqW5vbmNlciDDoCB1biBtb3RldXIg ZGUgcmVjaGVyY2hlLiBTZXVsIHVuIGh1bWFpbiBwZXV0IG1lIGd1aWRlciB2ZXJzIGxlcyBhcHBy ZW50aXNzYWdlcyBxdWkgbWUgc2Vyb250IHV0aWxlcy4KCkplIHJlY2hlcmNoZSB1biB0dXRvIChw YXIgw6ljcml0IHBhcyBlbiB2aWTDqW8pIGF1IHRlcm1lIGR1cXVlbCBqZSBzZXJhaSBjYXBhYmxl IGRlIHPDqWN1cmlzZXIgdW4gcsOpc2VhdSBhdmVjIHVuIG5pdmVhdSBkZSBzw6ljdXJpdMOpIGRv bWVzdGlxdWUuCgpHZW5yZSwgbW9uIHLDqXNlYXUgbuKAmWEgYXVjdW4gaW50w6lyw6p0LCBtYWlz IGrigJlhaSBwYXMgZW52aWUgcXVlIGNlIHNvaXQgdW5lIHBhc3NvaXJlIGV0IHF1ZSBtYSBwYXNz ZXJlbGxlIChhdmVjIHNvbiBwZXRpdCBzZXJ2ZXVyIHdlYiBwZXJzbykgc29pdCB1dGlsaXPDqWUg cG91ciBtZW5lciB1bmUgYXR0YXF1ZSBzdXIgdW4gYXV0cmUgcsOpc2VhdS4gTW9uIHLDqXNlYXUg w6l0YW50IGRvbWVzdGlxdWUsIG7igJllc3QgcGFzIHZ1bG7DqXJhYmxlIMOgIGRlcyBhdHRhcXVl cyBkZSBs4oCZaW50w6lyaWV1ciwgaWwgbuKAmXkgYSBwZXJzb25uZSBkZSBtYWx2ZWlsbGFudCDD oCBs4oCZaW50w6lyaWV1ci4gRG9uYyBjZXQgYXNwZWN0IGRlIGxhIHPDqWN1cml0w6kgZGVzIHLD qXNlYXV4IGTigJllbnRyZXByaXNlIG5lIG1lIGNvbmNlcm5lIHBhcy4gUGFzIGRlIGNvbnRyw7Rs ZSBwYXJlbnRhbCBhIG1ldHRyZSBlbiBwbGFjZSBub24gcGx1cy4KCkV0IGF1c3NpLCBjb21tZW50 IHPDqWN1cmlzZXIgbW9uIG9yZGluYXRldXIgcG9ydGFibGUgcXVhbmQgamUgc3VpcyDDoCBsJ2V4 dMOpcmlldXIgc3VyIHVuIHdpZmkgb3UgcXVlIGondXRpbGlzZSBsYSA0Ry4KCkplIG1lIHN1aXMg YWNoZXTDqSBjZSBsaXZyZSBlc3DDqXJhbnQgZW4gYXBwcmVuZHJlIGRhdmFudGFnZSwgbWFpcyBp bCBlc3QgdHJvcCB2ZXJiZXV4IGV0IGplIG1lIHN1aXMgZMOpY291cmFnw6kuCgpodHRwczovL3d3 dy5lZGl0aW9ucy1lbmkuZnIvbGl2cmUvc2VjdXJpdGUtaW5mb3JtYXRpcXVlLWV0aGljYWwtaGFj a2luZy1hcHByZW5kcmUtbC1hdHRhcXVlLXBvdXItbWlldXgtc2UtZGVmZW5kcmUtNmUtZWRpdGlv bi05NzgyNDA5MDMzNjY3CgpKZSB2b3VkcmFpcyB1biB0dXRvIHF1aSBleHBsaXF1ZSBlbiBxdWVs cXVlcyBsaWduZXMgKGV0IHBhcyA1MCBwYWdlcykgYXZhbnQgZGUgbW9udHJlciBsZXMgY29tbWFu ZGVzIMOgIHRhcGVyLgoKVG91cyBlc3Qgc291cyBkZWJpYW4sIMOnYSBuZSBt4oCZaW50w6lyZXNz ZSBwYXMgZGUgc2F2b2lyIHPDqWN1cmlzZXIgdW4gV2luZG93cyBvdSB1biBtYWMuClNpIGrigJlh aSBlbnZpZSBk4oCZZW4gc2F2b2lyIHBsdXMgc3VyIHVuZSBhdHRhcXVlIGrigJlpcmFpIGNoZXJj aGVyIGzigJlpbmZvIGRhbnMgY2UgbGl2cmUuCgpTaSBqZSByZWNoZXJjaGUgbW9pIG3Dqm1lLCBu J3kgY29ubmFpc3NhbnQgcmllbiBlbiBzw6ljdXJpdMOpLCBqZSByaXNxdWUgZGUgbSd5IHBlcmRy ZSBvdSBkZSBwYXNzZXIgw6AgY290w6kgZGUgbm90aW9ucyBpbXBvcnRhbnRlcy4uLgoKU2kgdm91 cyBwb3V2aWV6IG1lIGd1aWRlciB2ZXJzIGxlcyBjb21ww6l0ZW5jZXMgbsOpY2Vzc2FpcmUKCk1l cmNpIGTigJlhdmFuY2UKCuKAkwoKQmVub2l0CgpFbnZvecOpIGF2ZWMgbGEgbWVzc2FnZXJpZSBz w6ljdXJpc8OpZSBbUHJvdG9uIE1haWxdKGh0dHBzOi8vcHJvdG9uLm1lLyku

PGRpdiBzdHlsZT0iZm9udC1mYW1pbHk6IEFyaWFsOyBmb250LXNpemU6IDE0cHg7Ij48cD5Cb25q b3VyIMOgIHRvdXRlcyBldCB0b3VzLDwvcD48cD5Ew6lzb2zDqSBwb3VyIGNldHRlIGRlbWFuZGUg dW4gcGV1IEhTLCBtYWlzIGplIG5lIHNhdXJhaXMgcGFzIGwnw6lub25jZXIgw6AgdW4gbW90ZXVy IGRlIHJlY2hlcmNoZS4gU2V1bCB1biBodW1haW4gcGV1dCBtZSBndWlkZXIgdmVycyBsZXMgYXBw cmVudGlzc2FnZXMgcXVpIG1lIHNlcm9udCB1dGlsZXMuPGJyPjwvcD48cD5KZSByZWNoZXJjaGUg dW4gdHV0byAocGFyIMOpY3JpdCBwYXMgZW4gdmlkw6lvKSBhdSB0ZXJtZQ0KZHVxdWVsIGplIHNl cmFpIGNhcGFibGUgZGUgc8OpY3VyaXNlciB1biByw6lzZWF1IGF2ZWMgdW4gbml2ZWF1IGRlDQpz w6ljdXJpdMOpIGRvbWVzdGlxdWUuPC9wPjxwPjwvcD48cD5HZW5yZSwgbW9uIHLDqXNlYXUgbuKA mWEgYXVjdW4NCmludMOpcsOqdCwgbWFpcyBq4oCZYWkgcGFzIGVudmllIHF1ZSBjZSBzb2l0IHVu ZSBwYXNzb2lyZSBldCBxdWUgbWENCnBhc3NlcmVsbGUgKGF2ZWMgc29uIHBldGl0IHNlcnZldXIg d2ViIHBlcnNvKSBzb2l0IHV0aWxpc8OpZSBwb3VyIG1lbmVyIHVuZQ0KYXR0YXF1ZSBzdXIgdW4g YXV0cmUgcsOpc2VhdS4gTW9uIHLDqXNlYXUgw6l0YW50IGRvbWVzdGlxdWUsIG7igJllc3QNCnBh cyB2dWxuw6lyYWJsZSDDoCBkZXMgYXR0YXF1ZXMgZGUgbOKAmWludMOpcmlldXIsIGlsIG7igJl5 IGENCnBlcnNvbm5lIGRlIG1hbHZlaWxsYW50IMOgIGzigJlpbnTDqXJpZXVyLiBEb25jIGNldCBh c3BlY3QgZGUgbGENCnPDqWN1cml0w6kgZGVzIHLDqXNlYXV4IGTigJllbnRyZXByaXNlIG5lIG1l IGNvbmNlcm5lIHBhcy4gUGFzIGRlDQpjb250csO0bGUgcGFyZW50YWwgYSBtZXR0cmUgZW4gcGxh Y2Ugbm9uIHBsdXMuPC9wPjxwPkV0IGF1c3NpLCBjb21tZW50IHPDqWN1cmlzZXIgbW9uIG9yZGlu YXRldXIgcG9ydGFibGUgcXVhbmQgamUgc3VpcyDDoCBsJ2V4dMOpcmlldXIgc3VyIHVuIHdpZmkg b3UgcXVlIGondXRpbGlzZSBsYSA0Ry48YnI+PC9wPjxwPjwvcD48cD48YnI+PC9wPjxwPkplIG1l IHN1aXMgYWNoZXTDqSBjZSBsaXZyZSBlc3DDqXJhbnQgZW4gYXBwcmVuZHJlIGRhdmFudGFnZSwg bWFpcw0KaWwgZXN0IHRyb3AgdmVyYmV1eCBldCBqZSBtZSBzdWlzIGTDqWNvdXJhZ8OpLjwvcD48 cD48YSBocmVmPSJodHRwczovL3d3dy5lZGl0aW9ucy1lbmkuZnIvbGl2cmUvc2VjdXJpdGUtaW5m b3JtYXRpcXVlLWV0aGljYWwtaGFja2luZy1hcHByZW5kcmUtbC1hdHRhcXVlLXBvdXItbWlldXgt c2UtZGVmZW5kcmUtNmUtZWRpdGlvbi05NzgyNDA5MDMzNjY3Ij5odHRwczovL3d3dy5lZGl0aW9u cy1lbmkuZnIvbGl2cmUvc2VjdXJpdGUtaW5mb3JtYXRpcXVlLWV0aGljYWwtaGFja2luZy1hcHBy ZW5kcmUtbC1hdHRhcXVlLXBvdXItbWlldXgtc2UtZGVmZW5kcmUtNmUtZWRpdGlvbi05NzgyNDA5 MDMzNjY3PC9hPjwvcD48cD5KZSB2b3VkcmFpcyB1biB0dXRvIHF1aSBleHBsaXF1ZSBlbiBxdWVs cXVlcyBsaWduZXMgKGV0IHBhcyA1MA0KcGFnZXMpIGF2YW50IGRlIG1vbnRyZXIgbGVzIGNvbW1h bmRlcyDDoCB0YXBlci48L3A+PHA+VG91cyBlc3Qgc291cyBkZWJpYW4sIMOnYSBuZSBt4oCZaW50 w6lyZXNzZSBwYXMgZGUgc2F2b2lyDQpzw6ljdXJpc2VyIHVuIFdpbmRvd3Mgb3UgdW4gbWFjLjxi cj5TaSBq4oCZYWkgZW52aWUgZOKAmWVuIHNhdm9pciBwbHVzIHN1ciB1bmUgYXR0YXF1ZSBq4oCZ aXJhaQ0KY2hlcmNoZXIgbOKAmWluZm8gZGFucyBjZSBsaXZyZS48L3A+PHA+U2kgamUgcmVjaGVy Y2hlIG1vaSBtw6ptZSwgbid5IGNvbm5haXNzYW50IHJpZW4gZW4gc8OpY3VyaXTDqSwgamUgcmlz cXVlIGRlIG0neSBwZXJkcmUgb3UgZGUgcGFzc2VyIMOgIGNvdMOpIGRlIG5vdGlvbnMgaW1wb3J0 YW50ZXMuLi48YnI+PC9wPjxwPlNpIHZvdXMgcG91dmlleiBtZSBndWlkZXIgdmVycyBsZXMgY29t cMOpdGVuY2VzIG7DqWNlc3NhaXJlIDxicj48L3A+PHA+PGJyPjwvcD48cD5NZXJjaSBk4oCZYXZh bmNlPC9wPjxwPuKAkzwvcD48cD5CZW5vaXQ8L3A+PGJyPjwvZGl2PjxkaXYgc3R5bGU9ImZvbnQt ZmFtaWx5OiBBcmlhbDsgZm9udC1zaXplOiAxNHB4OyI+PGJyPjwvZGl2Pg0KPGRpdiBjbGFzcz0i cHJvdG9ubWFpbF9zaWduYXR1cmVfYmxvY2siIHN0eWxlPSJmb250LWZhbWlseTogQXJpYWw7IGZv bnQtc2l6ZTogMTRweDsiPg0KICAgIDxkaXYgY2xhc3M9InByb3Rvbm1haWxfc2lnbmF0dXJlX2Js b2NrLXVzZXIgcHJvdG9ubWFpbF9zaWduYXR1cmVfYmxvY2stZW1wdHkiPg0KICAgICAgICANCiAg ICAgICAgICAgIDwvZGl2Pg0KICAgIA0KICAgICAgICAgICAgPGRpdiBjbGFzcz0icHJvdG9ubWFp bF9zaWduYXR1cmVfYmxvY2stcHJvdG9uIj4NCiAgICAgICAgRW52b3nDqSBhdmVjIGxhIG1lc3Nh Z2VyaWUgc8OpY3VyaXPDqWUgPGEgdGFyZ2V0PSJfYmxhbmsiIGhyZWY9Imh0dHBzOi8vcHJvdG9u Lm1lLyIgcmVsPSJub29wZW5lciBub3JlZmVycmVyIj5Qcm90b24gTWFpbDwvYT4uDQogICAgPC9k aXY+DQo8L2Rpdj4NCg==

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
On 18/08/2022 09:03, benoit wrote:

Bonjour à toutes et tous,

Désolé pour cette demande un peu HS, mais je ne saurais pas l'énoncer
à un moteur de recherche. Seul un humain peut me guider vers les apprentissages qui me seront utiles.

Je recherche un tuto (par écrit pas en vidéo) au terme duquel je serai capable de sécuriser un réseau avec un niveau de sécurité domestique.

Genre, mon réseau n’a aucun intérêt, mais j’ai pas envie que ce soit une passoire et que ma passerelle (avec son petit serveur web perso)
soit utilisée pour mener une attaque sur un autre réseau. Mon réseau étant domestique, n’est pas vulnérable à des attaques de l’intérieur, il n’y a personne de malveillant à l’intérieur. Donc cet aspect de la sécurité des réseaux d’entreprise ne me concerne pas. Pas de contrôle parental a mettre en place non plus.

Et aussi, comment sécuriser mon ordinateur portable quand je suis à l'extérieur sur un wifi ou que j'utilise la 4G.

Je me suis acheté ce livre espérant en apprendre davantage, mais il
est trop verbeux et je me suis découragé.

https://www.editions-eni.fr/livre/securite-informatique-ethical-hacking-apprendre-l-attaque-pour-mieux-se-defendre-6e-edition-9782409033667

Je voudrais un tuto qui explique en quelques lignes (et pas 50 pages)
avant de montrer les commandes à taper.

*A mon avis ça ne peut pas exister.....* Le tutoriel devrait faire des centaines de pages, pas quelques lignes ou paragraphes!!

*Il faut des années de travail pour comprendre les enjeux de la cybersecurité:*

* *contre qui veut-on se protéger? L'adolescent boutonneux *(isolé
dans sa chambre)*ou bien les forces de cyberattaques d'un pays hostile?*
* *quelles informations sont à garder "secretes" ou "privées"*
* *les obligations légales RGPD
https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd
<https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd>*
* *Cas particulier des données nominatives liées à la santé*
* *Les données liées au secret des affaires, juridique, militaire, etc
etc....
*


NB. Je cherche des applications, des partenaires intéressés par
*RefPerSys en http://refpersys.org/*


--
Basile Starynkevitch<basile@starynkevitch.net>
(only mine opinions / les opinions sont miennes uniquement)
92340 Bourg-la-Reine, France
web page: starynkevitch.net/Basile/

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><br>
</p>
<div class="moz-cite-prefix">On 18/08/2022 09:03, benoit wrote:<br>
</div>
<blockquote type="cite" cite="mid:0HdDKTUecvOJzIDD537Vk659hABiz5UIHYFLNB-DJ9aF7o_Nt6XjJ92ka_Y-fHLSKqcYbvefz30hUtPoZNBGmhdsywJuoDW1_L6QoAWUbOk=@protonmail.ch">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div style="font-family: Arial; font-size: 14px;">
<p>Bonjour à toutes et tous,</p>
<p>Désolé pour cette demande un peu HS, mais je ne saurais pas
l'énoncer à un moteur de recherche. Seul un humain peut me
guider vers les apprentissages qui me seront utiles.<br>
</p>
<p>Je recherche un tuto (par écrit pas en vidéo) au terme
duquel je serai capable de sécuriser un réseau avec un niveau
de
sécurité domestique.</p>
<p>Genre, mon réseau n’a aucun
intérêt, mais j’ai pas envie que ce soit une passoire et que
ma
passerelle (avec son petit serveur web perso) soit utilisée
pour mener une
attaque sur un autre réseau. Mon réseau étant domestique,
n’est
pas vulnérable à des attaques de l’intérieur, il n’y a
personne de malveillant à l’intérieur. Donc cet aspect de la
sécurité des réseaux d’entreprise ne me concerne pas. Pas de
contrôle parental a mettre en place non plus.</p>
<p>Et aussi, comment sécuriser mon ordinateur portable quand je
suis à l'extérieur sur un wifi ou que j'utilise la 4G.<br>
</p>
<p><br>
</p>
<p>Je me suis acheté ce livre espérant en apprendre davantage,
mais
il est trop verbeux et je me suis découragé.</p>
<p><a href="https://www.editions-eni.fr/livre/securite-informatique-ethical-hacking-apprendre-l-attaque-pour-mieux-se-defendre-6e-edition-9782409033667"
moz-do-not-send="true" class="moz-txt-link-freetext">https://www.editions-eni.fr/livre/securite-informatique-ethical-hacking-apprendre-l-attaque-pour-mieux-se-defendre-6e-edition-9782409033667</a></p>
<p>Je voudrais un tuto qui explique en quelques lignes (et pas
50
pages) avant de montrer les commandes à taper.</p>
</div>
</blockquote>
<p><br>
</p>
<p><font size="4" color="red"><b>A mon avis ça ne peut pas
exister.....</b></font> Le tutoriel devrait faire des
centaines de pages, pas quelques lignes ou paragraphes!!<br>
</p>
<p><b>Il faut des années de travail pour comprendre les enjeux de la
cybersecurité:</b></p>
<ul>
<li><b>contre qui veut-on se protéger? L'adolescent boutonneux </b>(isolé
dans sa chambre)<b> ou bien les forces de cyberattaques d'un
pays hostile?</b></li>
<li><b>quelles informations sont à garder "secretes" ou "privées"</b></li>
<li><b>les obligations légales RGPD <a moz-do-not-send="true" href="https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd"><font
face="monospace">https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd</font></a></b></li>
<li><b>Cas particulier des données nominatives liées à la santé</b></li>
<li><b>Les données liées au secret des affaires, juridique,
militaire, etc etc....<br>
</b></li>
</ul>
<p><br>
</p>
<p>NB. Je cherche des applications, des partenaires intéressés par <b>RefPerSys
en <a class="moz-txt-link-freetext" href="http://refpersys.org/">http://refpersys.org/</a></b><br>
</p>
<p><br>
</p>
<pre class="moz-signature" cols="72">--
Basile Starynkevitch <a class="moz-txt-link-rfc2396E" href="mailto:basile@starynkevitch.net">&lt;basile@starynkevitch.net&gt;</a>
(only mine opinions / les opinions sont miennes uniquement)
92340 Bourg-la-Reine, France
web page: starynkevitch.net/Basile/

</pre>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Bonjour,

Le 2022-08-18 09:03, benoit a écrit :

Je recherche un tuto (par écrit pas en vidéo) au terme duquel je serai capable de sécuriser un réseau avec un niveau de sécurité domestique.

Ça va être difficile d'être exhaustif car ta demande est très large.

Tu pourrais commencer par (et ajouter des pierres à l'édifice peu à peu)
:
- configurer ta box pour qu'elle laisse passer (en entrée)
uniquement le trafic qui t'intéresse (donc port 443 puisque tu dis avoir
un serveur Web, à moins qu'il n'ait pas vocation à être accessible
depuis Internet, dans ce cas, aucun port ouvert en entrée)
- configurer ton Wi-Fi pour utiliser WPA2, avec une clé décente (un
code auto-généré à rallonge ou bien une phrase entière tirée de ton poème préféré ou de ton imagination)
- (éventuellement) mettre en place un filtrage basé sur l'adresse
MAC sur ton Wi-Fi
- mettre en place une configuration nftables sur ton/tes
ordinateur(s)

En cherchant "nftables débutant" sur un moteur de recherche, je suis
tombé là-dessus, ça a l'air de couvrir le sujet de manière assez
accessible :


https://www.it-connect.fr/modules/utilisation-de-nftables-vos-premiers-pas/

Principe de base d'une bonne stratégie de filtrage réseau : tout est
interdit par défaut, tu autorises ce que tu as explicitement indiqué.
Pour un poste de travail : tout le trafic entrant est interdit (sauf
celui en lien avec une connexion déjà établie), tout le trafic sortant
est autorisé.

Sébastien

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Bonjour,

En complément :
- si ton serveur est accessible depuis Internet : le mettre dans un reseau dédié (DMZ) et raccordé à ta box.
- et par dessus tout : mettre à jour ton serveur web très régulièrement.

Si tu es un peu paranoïaque :
- ajouter le mod_security sur ton serveur web (si c'est du apache).
- ajouter une sonde de détection d'intrusion sur ton réseau de type
suricata.

Le jeu. 18 août 2022 à 11:30, Sébastien NOBILI < s-liste-debian-user-french@pipoprods.org> a écrit :

Bonjour,

Le 2022-08-18 09:03, benoit a écrit :

Je recherche un tuto (par écrit pas en vidéo) au terme duquel je serai capable de sécuriser un réseau avec un niveau de sécurité domestique.

Ça va être difficile d'être exhaustif car ta demande est très large.

Tu pourrais commencer par (et ajouter des pierres à l'édifice peu à peu)
:
- configurer ta box pour qu'elle laisse passer (en entrée)
uniquement le trafic qui t'intéresse (donc port 443 puisque tu dis avoir
un serveur Web, à moins qu'il n'ait pas vocation à être accessible
depuis Internet, dans ce cas, aucun port ouvert en entrée)
- configurer ton Wi-Fi pour utiliser WPA2, avec une clé décente (un code auto-généré à rallonge ou bien une phrase entière tirée de ton poème préféré ou de ton imagination)
- (éventuellement) mettre en place un filtrage basé sur l'adresse
MAC sur ton Wi-Fi
- mettre en place une configuration nftables sur ton/tes
ordinateur(s)

En cherchant "nftables débutant" sur un moteur de recherche, je suis
tombé là-dessus, ça a l'air de couvrir le sujet de manière assez accessible :

https://www.it-connect.fr/modules/utilisation-de-nftables-vos-premiers-pas/

Principe de base d'une bonne stratégie de filtrage réseau : tout est interdit par défaut, tu autorises ce que tu as explicitement indiqué.
Pour un poste de travail : tout le trafic entrant est interdit (sauf
celui en lien avec une connexion déjà établie), tout le trafic sortant
est autorisé.

Sébastien

<div dir="auto"><div>Bonjour,</div><div dir="auto"><br></div><div dir="auto">En complément :</div><div dir="auto">- si ton serveur est accessible depuis Internet : le mettre dans un reseau dédié (DMZ) et raccordé à ta box.</div><div dir="auto">- et
par dessus tout : mettre à jour ton serveur web très régulièrement.</div><div dir="auto"><br></div><div dir="auto">Si tu es un peu paranoïaque :</div><div dir="auto">- ajouter le mod_security sur ton serveur web (si c&#39;est du apache).</div><div
dir="auto">- ajouter une sonde de détection d&#39;intrusion sur ton réseau de type suricata.</div><div dir="auto"><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">Le jeu. 18 août 2022 à 11:30, Sébastien NOBILI &lt;<a href="
mailto:s-liste-debian-user-french@pipoprods.org">s-liste-debian-user-french@pipoprods.org</a>&gt; a écrit :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Bonjour,<br>

Le 2022-08-18 09:03, benoit a écrit :<br>
&gt; Je recherche un tuto (par écrit pas en vidéo) au terme duquel je serai <br>
&gt; capable de sécuriser un réseau avec un niveau de sécurité domestique.<br>

Ça va être difficile d&#39;être exhaustif car ta demande est très large.<br>

Tu pourrais commencer par (et ajouter des pierres à l&#39;édifice peu à peu) <br>
:<br>
     - configurer ta box pour qu&#39;elle laisse passer (en entrée) <br> uniquement le trafic qui t&#39;intéresse (donc port 443 puisque tu dis avoir <br>
un serveur Web, à moins qu&#39;il n&#39;ait pas vocation à être accessible <br>
depuis Internet, dans ce cas, aucun port ouvert en entrée)<br>
     - configurer ton Wi-Fi pour utiliser WPA2, avec une clé décente (un <br>
code auto-généré à rallonge ou bien une phrase entière tirée de ton <br> poème préféré ou de ton imagination)<br>
     - (éventuellement) mettre en place un filtrage basé sur l&#39;adresse <br>
MAC sur ton Wi-Fi<br>
     - mettre en place une configuration nftables sur ton/tes <br> ordinateur(s)<br>

En cherchant &quot;nftables débutant&quot; sur un moteur de recherche, je suis <br>
tombé là-dessus, ça a l&#39;air de couvrir le sujet de manière assez <br> accessible :<br>


<a href="https://www.it-connect.fr/modules/utilisation-de-nftables-vos-premiers-pas/" rel="noreferrer noreferrer" target="_blank">https://www.it-connect.fr/modules/utilisation-de-nftables-vos-premiers-pas/</a><br>

Principe de base d&#39;une bonne stratégie de filtrage réseau : tout est <br> interdit par défaut, tu autorises ce que tu as explicitement indiqué.<br> Pour un poste de travail : tout le trafic entrant est interdit (sauf <br>
celui en lien avec une connexion déjà établie), tout le trafic sortant <br> est autorisé.<br>

Sébastien<br>

</blockquote></div></div></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
On 18/08/2022 09:03, benoit wrote:

Bonjour à toutes et tous,

Désolé pour cette demande un peu HS, mais je ne saurais pas l'énoncer
à un moteur de recherche. Seul un humain peut me guider vers les apprentissages qui me seront utiles.

Le livre de Guy Pujolles, /les réseaux/, ISBN 2-212-11121-5 (ed.
Eyrolles) n'est pas exhaustif sur la question (mais très bon) et dépasse
le millier de pages (format environ A5).


Apprendre les réseaux en quelques pages relève de mon point de vue d'une fiction naïve.


--
Basile Starynkevitch<basile@starynkevitch.net>
(only mine opinions / les opinions sont miennes uniquement)
92340 Bourg-la-Reine, France
web page: starynkevitch.net/Basile/

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><br>
</p>
<div class="moz-cite-prefix">On 18/08/2022 09:03, benoit wrote:<br>
</div>
<blockquote type="cite" cite="mid:0HdDKTUecvOJzIDD537Vk659hABiz5UIHYFLNB-DJ9aF7o_Nt6XjJ92ka_Y-fHLSKqcYbvefz30hUtPoZNBGmhdsywJuoDW1_L6QoAWUbOk=@protonmail.ch">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div style="font-family: Arial; font-size: 14px;">
<p>Bonjour à toutes et tous,</p>
<p>Désolé pour cette demande un peu HS, mais je ne saurais pas
l'énoncer à un moteur de recherche. Seul un humain peut me
guider vers les apprentissages qui me seront utiles.</p>
</div>
</blockquote>
<p><br>
</p>
<p>Le livre de Guy Pujolles, <i>les réseaux</i>, ISBN 2-212-11121-5
(ed. Eyrolles) n'est pas exhaustif sur la question (mais très bon)
et dépasse le millier de pages (format environ A5).</p>
<p><br>
</p>
<p>Apprendre les réseaux en quelques pages relève de mon point de
vue d'une fiction naïve.</p>
<p><br>
</p>
<pre class="moz-signature" cols="72">--
Basile Starynkevitch <a class="moz-txt-link-rfc2396E" href="mailto:basile@starynkevitch.net">&lt;basile@starynkevitch.net&gt;</a>
(only mine opinions / les opinions sont miennes uniquement)
92340 Bourg-la-Reine, France
web page: starynkevitch.net/Basile/

</pre>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

hello,

domestique, n’est pas vulnérable à des attaques de l’intérieur, il n’y a
personne de malveillant à l’intérieur. Donc cet aspect de la sécurité des réseaux d’entreprise ne me concerne pas.

* Sauf si tu files ton accès wifi au copain qui vient chez toi ou aux
copains de tes enfants.
* Sauf si tu as des devices connectés chez toi que tu ne connais pas :
(Chaine Hi-Hi, TV, Thermomix (si si), tablette et smartphone, domotique
, etc... )

Donc, je pense que même pour les réseaux domestiques, il faut contrôler
ce qui sort. Et si tu ne fais pas confiance à ta BOX [ce qui parait
plutôt raisonnable], tu peux installer un boitier FW juste après.

Il y aurait tellement de choses à rajouter. Bon courage dans tes
recherches, tu vas apprendre plein de trucs ;)

f.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le jeudi 18 août 2022 à 12:22 +0200, Fab a écrit :

hello,

domestique, n’est pas vulnérable à des attaques de l’intérieur, il n’y a
personne de malveillant à l’intérieur. Donc cet aspect de la sécurité
des réseaux d’entreprise ne me concerne pas.

* Sauf si tu files ton accès wifi au copain qui vient chez toi ou aux copains de tes enfants.
* Sauf si tu as des devices connectés chez toi que tu ne connais pas : (Chaine Hi-Hi, TV, Thermomix (si si), tablette et smartphone, domotique
, etc... )

Donc, je pense que même pour les réseaux domestiques, il faut contrôler ce qui sort. Et si tu ne fais pas confiance à ta BOX [ce qui parait
plutôt raisonnable], tu peux installer un boitier FW juste après.

Il y aurait tellement de choses à rajouter. Bon courage dans tes recherches, tu vas apprendre plein de trucs ;)

f.

Bonjour,

dans un premier temps,la simplicité de UFW

https://www.tecmint.com/setup-ufw-firewall-on-ubuntu-and-debian/

ce qui permet progressivement de se familiariser avec les tables/règles.
et un outil comme NETSTAT par ex.

https://www.tecmint.com/20-netstat-commands-for-linux-network-management/

Bon courage.


--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 18/08/22 à 12:22, Fab <fab@kaz.bzh> a écrit :

domestique, n’est pas vulnérable à des attaques de l’intérieur, il n’y a
personne de malveillant à l’intérieur. Donc cet aspect de la sécurité
des réseaux d’entreprise ne me concerne pas.

* Sauf si tu files ton accès wifi au copain qui vient chez toi ou aux copains de tes enfants.
* Sauf si tu as des devices connectés chez toi que tu ne connais pas : (Chaine Hi-Hi, TV, Thermomix (si si), tablette et smartphone, domotique
, etc... )

J'insiste aussi là-dessus, on peut être un peu plus laxiste sur la façon dont les machines
internes peuvent se connecter entre elles, mais on doit les considérer potentiellement aussi
malveillantes que n'importe quelle machine externe.

Un PC ou téléphone vérolé qui se connecte au wifi, ça arrivera forcément un jour ou l'autre,
sans parler des montres / frigos / caméras / chaudières / imprimantes / n'importe quel autre
truc connecté et jamais mis à jour.

--
Daniel

On ne va tout de même pas se laisser abattre.
John F. Kennedy.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.

Le 18/08/22 à 12:22, Fab<fab@kaz.bzh> a écrit :

domestique, n’est pas vulnérable à des attaques de l’intérieur, il n’y a
personne de malveillant à l’intérieur. Donc cet aspect de la sécurité >>> des réseaux d’entreprise ne me concerne pas.

* Sauf si tu files ton accès wifi au copain qui vient chez toi ou aux
copains de tes enfants.
* Sauf si tu as des devices connectés chez toi que tu ne connais pas :
(Chaine Hi-Hi, TV, Thermomix (si si), tablette et smartphone, domotique
, etc... )

J'insiste aussi là-dessus, on peut être un peu plus laxiste sur la façon dont les machines
internes peuvent se connecter entre elles, mais on doit les considérer potentiellement aussi
malveillantes que n'importe quelle machine externe.

Un PC ou téléphone vérolé qui se connecte au wifi, ça arrivera forcément un jour ou l'autre,
sans parler des montres / frigos / caméras / chaudières / imprimantes / n'importe quel autre
truc connecté et jamais mis à jour.

bonjour

dans cette optique, le réseau wifi chez moi est considéré conne externe. Mon réseau filaire est interne.

j'ai une machine branchée sur la box et un second port réseau sur le hub
qui dessert la maison et un firewall (iptables). Je reconnais que je ne
filtre pas le sortant, que l'entrant, et ce n'est pas bien.

un portable  ou un téléphone en wifi devra obligatoirement passer par le VPN pour accéder à une ressource interne


amitiés,

--

Erwann

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><br>
</p>
<div class="moz-cite-prefix"><br>
<br>
<br>
</div>
<blockquote type="cite" cite="mid:20220825133307.61ba23f0@dell">
<pre class="moz-quote-pre" wrap="">Le 18/08/22 à 12:22, Fab <a class="moz-txt-link-rfc2396E" href="mailto:fab@kaz.bzh">&lt;fab@kaz.bzh&gt;</a> a écrit :
</pre>
<blockquote type="cite">
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">domestique, n’est pas vulnérable à des attaques de l’intérieur, il n’y a
personne de malveillant à l’intérieur. Donc cet aspect de la sécurité des réseaux d’entreprise ne me concerne pas.
</pre>
</blockquote>
</blockquote>
<pre class="moz-quote-pre" wrap="">
</pre>
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">* Sauf si tu files ton accès wifi au copain qui vient

un portable  ou un téléphone en wifi devra obligatoirement passer par le VPN pour accéder à une ressource interne

ça veut dire que t'as pas de TV ou Hifi connectée en filaire ?

f.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is an OpenPGP/MIME signed message (RFC 4880 and 3156) -----------------------959daaeec6449926433519c1acd9b9bb Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;charset=utf-8

------- Original Message -------
Le jeudi 25 août 2022 à 16:48, Fab <fab@kaz.bzh> a écrit :

un portable ou un téléphone en wifi devra obligatoirement passer par le

VPN pour accéder à une ressource interne

ça veut dire que t'as pas de TV ou Hifi connectée en filaire ?

f.

Sans faire de filtrage sortant à proprement parler on peut utiliser
un dns menteur comme pi-hole : chez moi je n'ai pas de serveur donc c'est la box qui s'occupe du filtrage entrant. Le dhcp et le wifi de la box sont désactivés. J'ai un raspberry pi 3 avec pi-hole qui fait office de dhcp et de point d'accès (hostapd),
et dont l'interface wifi est simplement bridgée...

Ce qui est intéressant c'est le tableau de bord qui permet de voir un peu ce que font les différents appareils connectés : j'ai un autre point d'accès tp-link "qui aime être bien à l'heure", il est tout le temps en train de faire des requêtes sur
ntp.org et time*.nist.gov (environ une par seconde) ce qui le place en tête des clients autorisés ; j'ai aussi une web radio qui est souvent en tête des clients bloqués même quand elle est en veille, elle fait des requêtes sur shazam.com, icloud.
com, netflix.com, snapchat.com, scorecardresearch.com, branch.io, cedexis.com, appsflyer.com, pinterest.com, bugsnag.com, amzn.to, apple.com, etc.

Sinon pour mettre en place un vrai pare-feu, il y a des distributions spécialisées comme ipfire (linux), pfsense (free bsd), openwrt (linux ultra léger).

@+
Hugues
-----------------------959daaeec6449926433519c1acd9b9bb
Content-Type: application/pgp-keys; filename="publickey - hlarrive@pm.me - 0xE9429B87.asc"; name="publickey - hlarrive@pm.me - 0xE9429B87.asc"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="publickey - hlarrive@pm.me - 0xE9429B87.asc"; name="publickey - hlarrive@pm.me - 0xE9429B87.asc"

LS0tLS1CRUdJTiBQR1AgUFVCTElDIEtFWSBCTE9DSy0tLS0tCgp4ak1FWUZFMWNSWUpLd1lCQkFI YVJ3OEJBUWRBWlB0M2dhekNrdHVzaXFla2gzcnNsM0FLV0lUaUR1VGEKWk9tZEhCWjBtb3pOSDJo c1lYSnlhWFpsUUhCdExtMWxJRHhvYkdGeWNtbDJaVUJ3YlM1dFpUN0Nqd1FRCkZnb0FJQVVDWUZF MzRRWUxDUWNJQXdJRUZRZ0tBZ1FXQWdFQUFoa0JBaHNEQWg0QkFDRUpFRnZWSk5jdgo0dmswRmlF RTZVS2JoNHIyQ0RlSDZZRkJXOVVrMXkvaStUUWpDQUQvYTNwQ0hBSStsT2o1NHVOVVNTU0MKTDE4 NjFQYjI4YWs2K2JvRnN6bnVHc0FCQVBVczh3QnJLQXZxZ0RWYXFZdVd6d1BjTXNnZWJ3U0huOER3 Cmp1SDV6VmdPempnRVlGRTFjUklLS3dZQkJBR1hWUUVGQVFFSFFPbDZ3OXNiR1lmZHZOeVVPb3pj cExiZgp0aW56SWMraDVicS9rMU91TXdVRkF3RUlCOEo0QkJnV0NBQUpCUUpnVVRmaEFoc01BQ0VK RUZ2VkpOY3YKNHZrMEZpRUU2VUtiaDRyMkNEZUg2WUZCVzlVazF5L2krVFRoUEFEOUZTNFlrcFR0 RXJWNDFPRTBBaTNYClIxNlcrT3REa1p3bTZRVTY0VnUzSmJvQkFMMURMQngxRExLRE5kclZhTUZ1 NGp4MXBZV0JqTEpVZ0xLegpzbDMzakRNTQo9NXVpVgotLS0tLUVORCBQR1AgUFVCTElDIEtFWSBC TE9DSy0tLS0tCg==
-----------------------959daaeec6449926433519c1acd9b9bb--

-----BEGIN PGP SIGNATURE-----
Version: ProtonMail

wnUEARYKAAYFAmMHtVQAIQkQW9Uk1y/i+TQWIQTpQpuHivYIN4fpgUFb1STX L+L5NIAOAP9tEuFHttrcWMDNIzXwt7zCGbCExq4/O9TBgjlSppwZFgEAnHcy 6z9kTZWWEb7ha06klGuaJf+cGfN90YdpFDNXNQ0=
=ofcD
-----END PGP SIGNATURE-----

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

bien vu le pi-hole, je découvre.

merci!

f.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.

un portable  ou un téléphone en wifi devra obligatoirement passer par
le VPN pour accéder à une ressource interne

ça veut dire que t'as pas de TV ou Hifi connectée en filaire ?

f.

bonjour

Si, la TV est connectée en filaire au serveur multimédia (Universal
Media Server) du serveur qui n'écoute que sur l'interface interne.


amitiés,

--

Erwann

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><br>
</p>
<div class="moz-cite-prefix"><br>
<br>
<br>
</div>
<blockquote type="cite" cite="mid:te823a$12s1$1@ciao.gmane.io">
<blockquote type="cite">un portable  ou un téléphone en wifi devra
obligatoirement passer par le VPN pour accéder à une ressource
interne
<br>
</blockquote>
ça veut dire que t'as pas de TV ou Hifi connectée en filaire ?
<br>
<br>
f.
<br>
<br>
<br>
<br>
</blockquote>
<div id="grammalecte_menu_main_button_shadow_host" style="width:
0px; height: 0px;"></div>
<div class="moz-signature"
signature-switch-id="792b841d-6f8a-45c4-914b-70a0e871a3b5">
<p>bonjour</p>
<p>Si, la TV est connectée en filaire au serveur multimédia
(Universal Media Server) du serveur qui n'écoute q