Bonour,
petite question aux experts sécu.
J'ai une machine debian sur un LAN (derrière une box + routeur perso)
J'accède actuellement à cette machine depuis internet de deux façons:
- forward de port sur le routeur, et accès par une application android ssh (via adresse publique et port forwarder sur le port ssh de la machine)
- serveur VPN sur le routeur. Avec un client vpn sur mon tel android, j'ai accès à l'intégralité du LAN.
Je souhaite réduire la surface d'attaque et ne conserver qu'une méthode (à priori le VPN car il me permet plus de chose).
Que me conseillez vous ?
sécurisation acces machine debian sur LAN depuis internet
-
zargos
- Membre
- Messages : 197
- Inscription : 07 juil. 2023, 13:34
- Status : Hors-ligne
Bonjour,
Il faut d'abord commencer par définir le besoin, et en fonction de ces besoins il sera possible de définir correctement la solution fonctionnelle et de fait la solution technique qui en découle.
Besoin:
- Accéder au lan => VPN pas d'autres choix. L'avantage c'est que la solution est la plus restreinte en terme de surface exposée (avec utilisation user/mdp + certificat. Un MFA en plus est bon à prendre (j'utilise OpenOTP pour tous mes besoins MFA)). Il est facile d'y intégrer l'utilisation de clef Yubikey, Nitrokey, etc..
- Accéder au serveur: y accéder pour faire quoi? application Web, ou utilisation globale de la machine, auquel cas => VPN.
Quel routeur utilises-tu et quelle box?
Car il est souvent plus facile d'utiliser ton routeur que ta box pour le VPN, les box ne sont pas toujours très fiable.
(Perso je n'ai pas de box FAI, j'ai un miniPC 4xNIC en routeur sous OPNSense).
Il faut d'abord commencer par définir le besoin, et en fonction de ces besoins il sera possible de définir correctement la solution fonctionnelle et de fait la solution technique qui en découle.
Besoin:
- Accéder au lan => VPN pas d'autres choix. L'avantage c'est que la solution est la plus restreinte en terme de surface exposée (avec utilisation user/mdp + certificat. Un MFA en plus est bon à prendre (j'utilise OpenOTP pour tous mes besoins MFA)). Il est facile d'y intégrer l'utilisation de clef Yubikey, Nitrokey, etc..
- Accéder au serveur: y accéder pour faire quoi? application Web, ou utilisation globale de la machine, auquel cas => VPN.
Quel routeur utilises-tu et quelle box?
Car il est souvent plus facile d'utiliser ton routeur que ta box pour le VPN, les box ne sont pas toujours très fiable.
(Perso je n'ai pas de box FAI, j'ai un miniPC 4xNIC en routeur sous OPNSense).
-
zargos
- Membre
- Messages : 197
- Inscription : 07 juil. 2023, 13:34
- Status : Hors-ligne
Si j'ai bien lu mais je ne me suis pas assez bien exprimé.piratebab a écrit : 26 août 2024, 12:16 Si tu avais lu correctement, tu aurais vu que le serveur VPN est dans mon routeur.
Le type de routeur ou de box n'a aucune importance.
personnellement je ne fais jamais confiance à une box FAI, c'est pour ça que j'ai supprimé la mienne pour la remplacer par un OPNsense.
Donc si tu as confiance dans ta box, reste sur un VPN dessus car c'est la solution qui remplie toutes les case que tu évoques et qui ne te limite pas dans tes utilisations futures.