Sécurisation d'un réseau domestique

Table des matières

Une illustration concrète du risque associé à la surface exposée…

Avec l’arrivée de la fibre, j’ai actualisé la sécurité de mon réseau domestique.

Décision 1 : ne pas prendre de box.

👉 volonté de maitriser mes flux et ma surface exposée.

Décision 2 : mettre en place de la journalisation.

👉 opportunité de monter en compétence sur les technologies associées

👉 préparation d’un environnement réaliste pour des maquettes de gestion d’événements de sécurité (theHive & Cortex), ce sera possiblement l’objet d’un prochain article …

La topologie

Commençons par segmenter le réseau en fonction des rôles, je m’appuie sur un pare-feux PFSense (ma box) installé sur un boitier dédié.

alt

Dans une première version, je segmente en trois zones :

  • une DMZ pour rendre accessible des ressources à l’extérieur
  • le réseau de la maison
  • une enclave dédiée à la journalisation
alt

La journalisation

On ne peut pas agir sur ce que l’on ne voit pas !

Je vais donc mettre en place les briques nécessaires pour collecter, stocker et traiter les journaux d’événements.

En synthèse voici le schéma des flux :

alt

Et pour les curieux les technologies associées :

alt

L’ensemble de mes journaux seront indexés sur une instance Splunk qui fournit des capacités de recherche illimitées.

Une application : évaluer la menace sur la surface exposée

Afin de valider le fonctionnement, je demande au pare-feux d’observer toutes les demandes de connexion.

alt

Les constats

115 000 requêtes en provenance de 11185 sources différentes bloquées en 4 jours !

index=main | search "grok.action"=block |  stats dc(src_ip)

Ce qui représente entre 800 et 1500 tentatives par heure :

alt

Depuis environ 250 IPs différentes par heure :

index=main | search "grok.action"=block |  bucket _time span=60m | stats dc(src_ip) by _time
alt

❓ D’où viennent ces scans …

index=main |  search "grok.action"=block  | iplocation src_ip | iplocation src_ip | geostats latfield=lat longfield=lon count
alt

De partout !

❓ Par qui

👉 Des serveurs et des machines qui ont été compromises.

Pour exemple, en consultant le top 10 des sources je constate qu’elles appartiennent au même sous-réseau :

alt

Ces IPs appartiennent à un même hébergeur qui a déjà été largement notifié

alt

En étendant la recherche j’ai constaté que plus de 90 IPs de cet hébergeur apparaissent dans mes journaux …

👉 des plateformes qui scrutent l’Internet telles Shodan et Censys .

Si on recoupe les IPs appartenant à Censys :

alt

avec les serveurs de Censys qui ont effectivement “audité” mon pare-feux, on peut constater que le passage est plutôt régulier :

alt

Concrètement se faire épingler par ces plateformes c’est gagner le privilège d’avoir une photo de sa mire d’authentification indexée :

alt

❓ Que cherchent-ils

alt

Les éléments qui me semblent remarquables :

👉 [445] - des partages de fichier Windows plus de la moitié des tentatives !

👉 [1433] - des bases de données Microsoft SQL

👉 [3389] - des connexion à distance pour serveurs Windows

👉 [26] - Je sèche … Des serveurs de messagerie Proxmox ?

Proxmox Mail Gateway Administration Guide

Configure your e-mail server to send all outgoing messages through your Proxmox Mail Gateway (Smart Host, port 26 by default)

👉 [37215] - Un port vulnérable sur un routeur Huaweii …

alt

En étendant la recherche j’ai également trouvé :

👉 [5555] - des téléphones Android avec un mode de deboggage activé !

👉 [2375] - Docker, avec le cas classique d’instanciation d’un container pour faire du minage de crypto monnaie type Monero …

👉 [6379] - des Base de donnée Redis

En conclusion, soignez votre surface exposée

Related