Dans le cadre de l'évolution du routage de mon réseau domestique pour mieux contrôler l'activité réseau de mes serveurs applicatifs et de mes progénitures, j'encourage le débat et dans le même temps j'essaie de maintenir le PP qui prendra forme au fil de l'eau.  
 
Le besoin
 
- filtrer et sécuriser le trafic HTTP car on est 6 utilisateurs et j'aimerais filtrer les URL via des listes noires de type NSFW etc..
- isoler le réseau de mes objets connectés wifi.
- protéger les flux entrants/sortants de mes serveurs applicatifs : domotique, caméras, imprimante 3D
- avoir un bon VPN et si possible du remote desktop
- superviser le trafic réseau (volumes de données par sous-réseau, par IP, etc.)
- mettre des règles d'horaires pour certaines IP (pour les tablettes des enfants).
- administrer ça avec une IHM.
- faire tenir ça sur une VM car je ne souhaite pas acheter un routeur/pc dédié.
- cloisonner mon réseau progressivement, VLAN etc.
 
Actuellement j'ai cette configuration à la maison :  
 

 
Solutions suggérées par la communauté
 
- Routeur ubiquiti USG : visiblement assez limité en fonctionnalités, mais très efficace pour qui ne veut pas se prendre la tête. Plug and Play.  
- Pfsense : routeur logiciel open source demandant de bonnes connaissances en réseau. Permet de faire à peu près tout ce qu'on peut imaginer grâce à l'ajout d'extensions. Une extension proposée est pfBlocker qui permet de gérer des blacklists d'IP, à la façon de piHole pour les DNS, en plus paramétrable.  
- openVPN : fork de Pfsense proposant sensiblement les mêmes fonctionnalités.
- Sophos UTM : solution réputée plus facile d'accès. Gratuit pour les particuliers avec une limite de 50 adresses ip.
- Sophos XG : solution alternative plus récente et en évolution constante. Gratuit pour les particuliers avec une limite de 4 coeurs alloués à l'application et 8Go de mémoire.
 
Solution retenue et partiellement en fonction :
 
- Serveur sur baze de ryzen 2600 / 16Go DDR4 / Carte PCIe 4xIntel Nic
- Proxmox avec mélange de VM, conteneurs LXC et docker
- Sophos XG sur une VM en mode bridge, puis plus tard en gateway.
- Traefik pour le reverse proxy vers mes apps, car il gère très bien les certificats et surtout prend en charge les conteneurs docker en toute simplicité.
 
 
Bilan au 28/10, soit environ 5 semaines après la mise en place
 
- filtrer et sécuriser le trafic HTTP car on est 6 utilisateurs et j'aimerais filtrer les URL via des listes noires de type NSFW etc.. : via sophos . Il a même fallu que je débloque l'accès aux sites de vente chinois (aliexpress etc.) et aux sites de jeux vidéo. Grâce à Sophos j'ai également détecté que ma vieille caméra IP essayait de se connecter à mon serveur mutualisé OVH avec un ancien mot de passe depuis plusieurs mois, ce qui m'a permis de comprendre pourquoi je ne parvenais plus à m'y connecter avec les bons identifiants : un mécanisme de type fail2ban blacklistait mon IP à cause de la caméra.
- isoler un réseau pour mes objets connectés wifi : , non prévu pour le moment, je ne maîtrise pas encore assez pour créer deux réseaux sans tout casser.
- protéger les flux entrants/sortants de mes serveurs applicatifs : domotique, caméras, imprimante 3D , grâce à Sophos et Traefik pour le reverse proxy qui garantit le HTTPS. Cependant je pense qu'il reste des choses à faire au niveau des différentes applications pour bloquer les tentatives d'intrusion : mécanismes de type fail2ban.
- avoir un bon VPN et si possible du remote desktop : : pas pris le temps de le faire pour le moment.
- superviser le trafic réseau (volumes de données par sous-réseau, par IP, etc.) :    ça m'apporte des infos utiles, notamment le trafic assez important causé par les màj microsoft, l'occupation de la bande passante par les streamings, et lesquels (youtube/netflix chez moi).
- mettre des règles d'horaires pour certaines IP (pour les tablettes des enfants). Sera vu plus tard.
- administrer ça avec une IHM.    L'admin de Proxmox est vraiment intuitive, celle de sophos aussi. Pour autant, avec Sophos il y a moyen de chopper des cheveux blancs avec les règles de firewall. Je trouve qu'il est le plus souvent difficile d'identifier pourquoi Sophos a bloqué un flux, dans le journal d'évènement je vois quelques messages de type "unknown TCP packet" ou un truc comme ça, j'aurais aimé voir "TCP connection blocked by firewall rule N°xy".
- faire tenir ça sur une VM car je ne souhaite pas acheter un routeur/pc dédié.    : pour le coup c'est vraiment tout confort d'avoir la totalité des services virtualisés. J'ai perdu pas mal de temps à essayer d'installer docker sur le host proxmox, il m'a pourri les iptables, et l'installation s'est retrouvée HS, il a fallu le mettre dans une VM.  
- cloisonner mon réseau progressivement, VLAN etc.  Je n'ai pas de besoin réel ou je ne maîtrise pas le sujet.
Et je rajoute :
- Gérer la fonction NAS :    ça a été la partie la plus simple, j'ai installé samba et miniDLNA directement sur le host proxmox, c'est simple et vraiment efficace.
- Superviser la bonne activité en un coup d'oeil :   Grâce à Grafana et à des templates fournis par les autres utilisateur j'ai un tableau de bord super complet basé sur les métriques fournies par Proxmox, que j'ai complétées avec les  mesures hardware collectées par collectd (temp CPU, Système, vitesse ventilos, fréquence CPU, etc.). Quand j'aurai le temps je mettrai un template docker et un autre sophos.
 
Globalement je suis content, par contre je retiens une chose : il faut toucher le moins possible au host!
 
--------------------
Vocabulaire
--------------------
 
IPS : Intrusion Prevention System : prévention des intrusions
IDS : Intrusion Detection System : détection des intrusions
DPI: Deep packet inspection : technique d'analyse des flux passant dans des équipements réseau au-delà de l'entête. L'équipement recherche des informations dans la charge utile des paquets plutôt que dans les entêtes (à l'inverse des approches classiques). Des signatures sont le plus souvent recherchées pour détecter des types de flux et agir en conséquence. Il existe plusieurs domaines d'applications : priorisation ou ralentissement de flux particuliers, censure, détection d'intrusion. L'inspection est mise en œuvre par des gouvernements, des FAI et des organisations à ces fins. L'inspection peut fortement ralentir le trafic là où elle est utilisée, cela est du à la grande puissance de calcul nécessaire pour gérer un trafic important.
Snort: Snort is a free open source network intrusion detection system (IDS) and intrusion prevention system (IPS) created in 1998. In 2009, Snort entered InfoWorld's Open Source Hall of Fame as one of the "greatest [pieces of] open source software of all time"

Drap

Pour le contrôle parental moi je passerai plutôt sur Norton Family Premier (10 euros par an sur le marché gris) car le produit a l'air vraiment top et ça permet de protéger tous les devices (PC, tablette iOS/Android, et malinphone) (https://family.norton.com/web/?ULang=fra)...
 
Le combo Squid/Squidguard est pas mal mais ne fait que du filtrage alors que l'app de Norton va beaucoup plus loin (contrôle/filtrage de la diffusion de données personnelles, quota d'Internet, surveillance des recherches, filtrage du contenu sur YouTube, surveillance des app mobile) avec pleinde dashboard et d'alertes mails...
 
Si en plus de ça tu te prends un ERL-3/4 (quitte à garder ton routeur SFR et à le mettre en bridge vers l'ERL) tu vas gagner en sécurité et en performance, surtout en combinaison avec ton UAP-AC-LR et une VM Unifi (avec possibilité de faire un portail captif pour tes invités donc dans un VLAN dédié). L'ERL via le DPI va t'indiquer la BP par IP et par appli donc c'est top.
 
Tu pourras passer à la maison pour une démo en live d'ailleurs !
 
En fait, l'infra que tu veux mettre en place est sympa mais tu risques de devoir mettre les mains dans le cambouis et à troubleshooter ça risque de générer des stress et de te faire passer des nuits blanches...

Merci pour ton retour détaillé.
 
Pour norton, je vais y souscrire quand j'aurai un moment. Si je comprends bien squidguard est également client, donc je ne creuse pas plus loin cette piste si norton recouvre ses fonctionnalités.
Pour l'ERL3/4, j'avais étudié ça en juillet, je ne sais plus pourquoi j'avais conclu qu'il n'était pas adapté. Je crois qu'il manquait entre autres le VPN, et pour le filtrage de paquets/services il est super limité de mémoire.  
 
Vu que j'ai déjà l'appli unifi en service, effectivement c'est assez tentant, mais j'aimerais bien mettre en place pfsense, quitte à l'exploiter progressivement, et si je me vautre j'envisagerai de claquer les 100 balles que coûtent un erl.
Et merci pour l'invitation Faudrait qu'on se voie à l'occasion.

drap, des choses que tu souhaites faire m'intéressent

Sophos UTM/XG. Probablement ce qui se fait de plus complet avec licence gratuite.

Tu l'utilises?

Pas de vente directe pour des particuliers et 2K+ HT (modèle Sophos XG 125 v3) pour moi avec ma fibre Gb/s

Non merci

Qu'est-ce qui ne te convient pas dans Sophos UTM Édition familiale?

Heu, t'as des versions gratuites qui s'installent sur ton matos.

Je pensais que tu parlais de version gratuite sur HW proprio

Sinon, review complète de la version premium de Sophos UTM : https://securitygladiators.com/sophos-home-premium/

@Libre : attention chez Norton ils ont castré l'offre "premier" pour justifier une offre "premium"...
 
Ce qui est visiblement absent sur l'offre premier :  
 

• Meilleure protection contre les virus et malwares
• Protection contre les virus 100 % garantie
• Protection de l’identité
• Prise en charge de 10 appareils
• Sauvegarde automatique
• Stockage en cloud de 25 Go
• Sécurité à la pointe de la technologie5    
• Détection des menaces du monde entier  

A 10 balles par an je ne me prendrais pas la tête, j'essaierai le deux (dans des VM) dans le doute

Je suis en train d'étudier sophos, je me disais qu'avec la limitation à 50 ip pour la version home, j'allais être emmerdé à cause de mes objets connectés. En fait la version UTM se base sur le nombre d'ips, mais la version XG se contente de limiter le nombre de coeurs alloués, ce qui me va très bien.
 

 
Source : https://www.sophos.com/en-us/produc [...] ition.aspx
 
 
 
 
EDIT : une comparaison imagée entre pfsense et sophos
 

 
Source : https://www.reddit.com/r/homelab/co [...] s_pfsense/

 
En fait c'est pas du tout Sophos UTM qui est dans l'article. Sophos UTM c'est une solution firewall centralisée, comme Sophos XG, tandis que le Sophos Home de ton lien c'est une solution à installer sur chaque pc, qui fait antivirus deluxe comparable à norton etc.  
Et l'article est insupportable à lire  

Oui j'utilise XG depuis 2 ans je crois. Ca fonctionne très bien et plutôt simple à utiliser. Pfsense m'a fait peur par sa complexité, semble très orienté ingé sécurité IT.

Avec sophos, en deux cliques tu bloques Netflix ou Facebook à ta femme et gamins  

       
 
je commence à être chaud pour sophos XG. Tu l'as mis sur une VM? ça consomme? J'ai 6 utilisateurs plutôt actifs à la maison, la connexion 100mbps est bien exploitée.

Ca tourne sur une VM sur une machine à base de i7-5500u et 8go de ram, avec à côté quelques containers docker (pihole, openvpn). Ca tourne bien mais j'ai seulement 60 Mbps. Je pense que sur une connexion Gigabit ça ne tournerait pas avec firewall + web filter + IPS.

flag !

Ah bah l'IDS c'est le cancer hein et honnêtement, passer de 920 Mb/s à 60 Mb/s ça me hype pas tant que ça et la phrase magique :
 

 
On est ingé en IT
 
Donc no go pour moi, surtout parce que j'ai pas envie de voir mon débit divisé par 20 donc ça sera client lourd pour tout le monde et dashboard sur mon PC
 
Cela dit, l'idée de monter une petite machine me hype aussi mais vla la puissance qu'il va falloir pour faire du DPI et de l'IDS... Surtout que mon ERL fait déjà ça (même si j'ai désactivé le DPI car ça consomme effectivement pas mal de ressources)...

Du coup peut être que mon i5 2C/4T@2.9-3.6Ghz sera plus efficace qu'un E3 4/8 2.4-3.3? Hum, quel suspens    
Ou alors je ne me casse pas la tête, je bazarde ma config 1155 actuelle et je monte une nouvelle en faisant un underclock/undervolt sur le ryzen 2600 que je viens de chopper pour une bouchée de pain. Le problème c'est que ça me fait tout changer, DDR, carte mère etc.
 
Sinon ci-dessous ça parle de comparaison entre pfsense et sophos, ça dit que sophos consomme un peu plus mais visiblement pas besoin d'une machine de guerre pour gérer un réseau@home...
https://www.reddit.com/r/homelab/co [...] s_pfsense/

ouch, c'est sacrément gourmand  

Je drap même si pour le moment je n'ai pas encore de solution vraiment dédiée à cette tâche

@cartemere t'en sais rien si c'est gourmand ou pas, pour le moment il confirme juste que ça fonctionne sur son i7 ultra basse conso. Comme précisé plus haut, le principe est d'inspecter tous les paquets qui transitent sur le réseau avec une tonne de règles, visiblement avec un CPU basse conso lambda (pas ultra basse conso) ça tournera bien pour un réseau@home. La question est de savoir combien d'autres applications tu veux faire tourner sur la même machine.
 
Pour info pfsense tourne impeccable sur un celeron j1900. La seule raison pour laquelle je n'ai pas acheté de box chinoise à base de j1900 est la fameuse histoire des instruction AES-NI qui ne sont pas présentes sur ce CPU. Ce qui est tragique, c'est qu'aucun CPU n'approche les performances du J1900 dans sa tranche de prix, il faut rajouter 80€ pour retrouver ses perfs avec un CPU AES-NI dans une box chinoise. Bon, avec les promos sur le N3450, ce constat a peut être changé du coup.
 
Bon, moi la question que je me pose c'est comment je vais faire cohabiter ça avec traefik, mon reverse proxy. Ma compréhension atteint ses limites ici
 
 
Sinon ceux qui veulent jeter un coup d'oeil à Sophos XG, voici une démo assez intéressante :  
 
https://demo.sophos.com/webconsole
 
login : demo
pwd : demo

Alors la discussion ci-dessous permet de dégager une règle "grosso modo" pour estimer le CPU nécessaire pour que sophos puisse encaisser une connexion 1Gbps en utilisant l'IPS (network intrusion prevention system):  
 
- Débit 1Gbps => fréquence CPU > 3Ghz.
- 1 Session = exactement 1 core pour le snort (IPS)
 
Par conséquent, si on est deux sur le réseau avec une connexion 1Gbps, autant avoir un i5 >=3Ghz , si on est 6 à la maison avec une connexion 100Mbps, autant avoir un xeon 4C/8T @2.5Ghz
 
Source : https://community.sophos.com/produc [...] t-bandwith

J'utilise depuis environ 5 ans, PFsense avec une connexion fibre ...  
Si vous avez des questions  
 
dafunky => j'avais un J1900 , mon nouveau proc est bien plus puissant (pour la même conso)
 
 

Pour ma part aucun soucis sous pFSense depuis pas loin de 3 ans (depuis un peu plus de 6 mois sous VM proxmox, et sinon sous ESXI).  
 
@dafunky - Gen8 avec un Xeon 1265 v2, la VM dédiée ne dispose que de 2CPU/2GO/8GO HDD et malgré du traffic (ado, netflix, domotique, sites web hostés) sur une cnx VDSL 80/20, le CPU est tranquille même en session VPN.
 
Edit: j'allais mettre un screenshot, mais ca ressemble étrangement à celui de katkar sans squid mais avec openvpn

Dites les gens, c'est pas que la fonction FW qui intéresse Dafunky sinon autant prendre un ERL qui sera tout aussi performant sauf que lui ne consommera que 10 watts et sera petit et passif... Le cœur du problème c'est le contrôle parental... Existe-t-il des plugins couvrants ce type de fonctionnalités ?

pfBlocker (du même style que pihole) rempli très bien ce rôle avec de bonnes listes: pour moi le gros avantage c'est que cela fonctionne pour n'importe lequel des équipements et pas uniquement un tel/pc/tablette mais aussi les TV/box TV/chromecast etc

Et ce n'est pas que le filtrage qui l'intéresse

Pour faire dans le simple, pourquoi ne pas utiliser directement opendns ? Ils proposent de configurer les catégories bloquées.

Merci à tous pour vos réponses et retours d'expérience. J'ai changé le titre du topic pour mieux préciser le niveau d'exigence, et histoire de se mettre un peu de challenge, sinon Libre a raison, un ERL fait un partie du job.
 
Si je comprends bien pfSense + pfBlocker permettent de gérer des listes d'IP, c'est déjà un bon départ.  
 
Là je suis sur la démo de sophos donnée en lien plus haut, ça va d'emblée assez loin, on peut regrouper des utilisateurs (ip) dans des groupes, définir des stratégies de protection personnalisées pour chaque groupe, ainsi que des plannings, en quelques clics dans l'ihm. Partant de là, on peut interdire les réseaux sociaux au delà de 22h, bloquer le trafic HTTP à partir de minuit, etc.
 
Je ne veux pas aller jusqu'à gérer les autorisations de chaque personne et de leur planning personnalisé dans le firewall, car ce sera fait sur les appareils des gamins selon leur âge. Par contre ça m'arrange de restreindre l'activité réseau en pleine nuit de façon quasi généralisée sur la plupart des appareils.
 
Ensuite vient la question du DPI / IPS / IDS : vous qui utilisez déjà pfsense, quel niveau de sécurité avez-vous sur ces sujets?

Je comprends pas la question
Snort dans mon cas, bloque pdt 1h l'IP à l'origine de l'alerte (tentative de scan, trojan, etc ...)  
J'héberge pas de site web ... Je suis rarement embêter par Snort
 
Sinon, PFblocker fait le plus gros du boulot de filtrage/sécurisation ...  
Et mes "objets connecté" ne sont pas sur le même lan (et en sont isolés) que mes ordis (sauf la google home pour une question de praticité) ...  
 
Voila Voila

Perso même en hébergement de qq sites (des trucs à vocation familiale certes pour la plus part), franchement snort m'embête pas plus que cela.

C'est peut-être mal formulé mais j'ai une connexion 60 Mbps et je les atteins. Je peux pas tester sur un lien gbps mais je vais regarder si le i7 est à genoux avec 60 mbps ou s'il a encore de la marge.

drap

Perso, j'ai un routeur firewall dédié sous opnsense, un 4cores/8Go ram/120Gb SSD, 4 ports reseaux intel, en fanless.
 
Pas encore activé le DPI mais aucune probleme de débit en fibre (1Gbs/500Mb)
 
Je ne me voyais pas avoir une VM Sophos ou Pfsense/OPNsense sur mon esxi. Trop de surcouches et multiplication des pannes.
 
Si ma parano de la panne revient, je monte un cluster et basta.

Ah c'est sous opnsense (mais idem sous pfsense), tu as du web filtering :  
 
https://docs.opnsense.org/manual/ho [...] ilter.html
 
Tu peux aussi controler l'acces de tes gamins via les mac adress / ip, etc ..

Une piste aussi en fonction de ce que tu veux faire et de ce que tu as : https://github.com/e2guardian/e2guardian

 
c'est quoi comme hardware ? ça peut aussi remplacer un USG pour faire box opérateur?

 
Je ne vois pas comment tu pourrais avoir un problème de perf si tu ne fais pas de DPI vu ta config dédiée. Ton serveur doit se tourner les pouces ou alors quelque chose m'échappe.
Par contre je ne vois pas comment on peut avoir une panne avec le couple ESXI/Sophos, ce sont deux applicatifs packagés pour une utilisation professionnelle/industrielle et tous les feedbacks que je vois au sujet de sophos mettent en avant la simplicité et stabilité.  
 
J'en profite pour demander : comment je fais pour installer ESXI sur ma machine? C'est une petite machine avec 2X sata, actuellement l'un sert pour le HDD et l'autre sert pour le SSD qui contient l'OS + les VM.
Si je bascule sur ESXI, je formate le SSD, j'installe ESXI, et ensuite je copie les VM dessus, que j'aurai préalablement copiées sur le HDD?