Sécurisation d'un réseau domestique

Table des matières
Une illustration concrète du risque associé à la surface exposée…
Avec l’arrivée de la fibre, j’ai actualisé la sécurité de mon réseau domestique.
Décision 1 : ne pas prendre de box.
👉 volonté de maitriser mes flux et ma surface exposée.
Décision 2 : mettre en place de la journalisation.
👉 opportunité de monter en compétence sur les technologies associées
👉 préparation d’un environnement réaliste pour des maquettes de gestion d’événements de sécurité (theHive & Cortex), ce sera possiblement l’objet d’un prochain article …
La topologie
Commençons par segmenter le réseau en fonction des rôles, je m’appuie sur un pare-feux PFSense (ma box) installé sur un boitier dédié.

Dans une première version, je segmente en trois zones :
- une DMZ pour rendre accessible des ressources à l’extérieur
- le réseau de la maison
- une enclave dédiée à la journalisation

La journalisation
On ne peut pas agir sur ce que l’on ne voit pas !
Je vais donc mettre en place les briques nécessaires pour collecter, stocker et traiter les journaux d’événements.
En synthèse voici le schéma des flux :

Et pour les curieux les technologies associées :

L’ensemble de mes journaux seront indexés sur une instance Splunk qui fournit des capacités de recherche illimitées.
Une application : évaluer la menace sur la surface exposée
Afin de valider le fonctionnement, je demande au pare-feux d’observer toutes les demandes de connexion.

Les constats
115 000 requêtes en provenance de 11185 sources différentes bloquées en 4 jours !
index=main | search "grok.action"=block | stats dc(src_ip)
Ce qui représente entre 800 et 1500 tentatives par heure :

Depuis environ 250 IPs différentes par heure :
index=main | search "grok.action"=block | bucket _time span=60m | stats dc(src_ip) by _time

❓ D’où viennent ces scans …
index=main | search "grok.action"=block | iplocation src_ip | iplocation src_ip | geostats latfield=lat longfield=lon count

De partout !
❓ Par qui
👉 Des serveurs et des machines qui ont été compromises.
Pour exemple, en consultant le top 10 des sources je constate qu’elles appartiennent au même sous-réseau :

Ces IPs appartiennent à un même hébergeur qui a déjà été largement notifié

En étendant la recherche j’ai constaté que plus de 90 IPs de cet hébergeur apparaissent dans mes journaux …
👉 des plateformes qui scrutent l’Internet telles Shodan et Censys .
Si on recoupe les IPs appartenant à Censys :

avec les serveurs de Censys qui ont effectivement “audité” mon pare-feux, on peut constater que le passage est plutôt régulier :

Concrètement se faire épingler par ces plateformes c’est gagner le privilège d’avoir une photo de sa mire d’authentification indexée :

❓ Que cherchent-ils

Les éléments qui me semblent remarquables :
👉 [445] - des partages de fichier Windows plus de la moitié des tentatives !
👉 [1433] - des bases de données Microsoft SQL
👉 [3389] - des connexion à distance pour serveurs Windows
👉 [26] - Je sèche … Des serveurs de messagerie Proxmox ?
Proxmox Mail Gateway Administration Guide
Configure your e-mail server to send all outgoing messages through your Proxmox Mail Gateway (Smart Host, port 26 by default)
👉 [37215] - Un port vulnérable sur un routeur Huaweii …

En étendant la recherche j’ai également trouvé :
👉 [5555] - des téléphones Android avec un mode de deboggage activé !
👉 [2375] - Docker, avec le cas classique d’instanciation d’un container pour faire du minage de crypto monnaie type Monero …
👉 [6379] - des Base de donnée Redis
En conclusion, soignez votre surface exposée