Bonjour HFR
 
Aujourd'hui, j'ai une petite question "bonnes pratiques" plus que "sécurité", aussi désolé si je ne poste pas au bon endroit
 
A la maison, j'ai une petite et modeste infra qui me sert tous les jours.
Elle se constitue d'une huitaine de VM + quelques machines fixes (PC, équipements, NAS...) + tout ce qui faut de switchs et câbles et onduleurs.
Tout ça ronronne dans un local technique, derrière une Livebox 4 configurée aux petits soins.
Côté sécurité, ça va pour le moment.
J'accède à tout ce monde depuis un point d'entrée, actuellement une VM "poubelle" que j'active uniquement en mon absence et sur laquelle tout le flux RDP est NATé.
 
La question : est-ce qu'il vaut mieux, pour l'accueil depuis l'extérieur (RDP) utiliser une VM comme je le fais, ou plutôt une machine physique dédiée ?
 
Merci d'avance pour vos réponses,
Bonne journée à tous

il vaut mieux de quel point de vue ? pour la sécu ça change pas grand chose. J'espère surtout que le système est à jour et que l'authentification est configurée de façon sécurisée.

Oui, de ce côté là je prends aucun risque.
Les OS sont à jour, les mots de passe sont changés régulièrement.
 
Sinon c'est plutôt du point de vue pratique que je me pose la question.
 
Par exemple : une machine dédiée, en cas de doute, je la débranche, et on en parle plus. La VM compromise, faut déjà accéder à l'hyperviseur pour la stopper.

 
Perso, j'ai une VM light sous ubuntu qui sert de server OpenVPN sur des ports non standard pour accéder à mes ressources, comme ça, pas besoin de NATer du RDP directement vers l'extérieur

C'est en effet la finalité vers laquelle je voulais arriver, mais je n'ai pas encore suffisamment de connaissances pour mettre tout ça en oeuvre.

Ton hyper-v est sur windows server ou w10 ? Il me semble que tu en avais déja parlé dans un autre topic.
 
Perso sur une infra et besoin similaire, sur 2016 server, je passe par le role Windows server essentials, qui permet entre autres d'avoir la passerelle rdp, qui permet de ne pas ouvrir les ports rdp directement.
A coté de ça, j'utilise https://apreltech.com/HvManager qui me permet d'activer la VM à la demande et ne pas la faire tourner en permanence, et donc pour répondre à ta demande, qui permet de l'éteindre à l'arrache à n'importe quel moment.

J'avais le projet de tout passer en Hyper-V effectivement, mais finalement je suis resté sur du ESXi
 
Je vais me renseigner, voir si je peux trouver un équivalent

Ah, je sais pas pourquoi, je pensais que tu etais sur hyper-V .

 
Un peu en retard mais OpenVPN (ou plus récent, wireguard) ça n'est pas vraiment compliqué à installer/configurer. Je l'ai fait sur rapsberry pi il y a quelques semaines et c'est très rapide grâce à pivpn.
Exemple d'install' d'OpenVPN : https://korben.info/pivpn-transform [...] envpn.html

Ou sinon tu mets un petit guacamole dans une vm et pk pas un mécanisme de port knocking

Ca a l'air sympa guacamole. Je vais peut-être tester sur rpi4 (heureusement qu'il y a 4 core )
 
Pour le port knocking, il y a des softs qui permettent de mettre ça en place simplement ?

knockd sous linux

J'ai testé rapidement guacamole, sympa notamment si on veut bypasser le filtre du SSH lorsqu'on est en entreprise. L'interface manque un peu de souplesse (pas de clic droit pour copier-coller comme avec putty) et d'options de configuration (par exemple, déclarer un login/password et pouvoir l'utiliser sur l'ensemble de ses cibles SSH).