Bonjour,
J’ai plusieurs VLAN dans ma configuration de homelab :
- DMZ (Serveur / Client) - (Internet accessible - Port 80/443 TCP) Exemples:
- Nextcloud
- Reverse Proxy
- Wordpress etc.
- LAN interne (Clients) - Exemples:
- LAN interne (Serveur) - Accessible uniquement depuis l’interne - Exemples:
- LAN de gestion - Exemples:
- Proxmox (PVE)
- Sauvegarde Proxmox (PBS) etc.
- LAN administrateur - Exemples:
- Matériel UniFi (UDR, APs, Switches etc.)
Où devrais-je placer le jumphost pour accéder à des ressources comme “Proxmox Hosts”, “HomeBridge”, “Nextcloud” etc.? Actuellement, je Permets l’accès depuis le “LAN interne”.
Note : OS du Jumphost = Windows Server 2022 Standard
Je privilégierais le VLAN LAN interne (Serveur) ; comme, je suppose, qu’avec la boîte de saut étant Windows, tu utiliseras RDP. Dans ce cas, je mettrais Apache Guacamole dans la DMZ avec 2FA activé.
Je n’ai pas de jumphost dans mon homelab, mon VLAN OOB/Gestion est dans la même VRF que mon VLAN “bureaux” pour que, en cas d’urgence, je puisse y accéder rapidement.
L’accès à mes VLANs DMZ / VHF est unidirectionnel depuis ma VRF de bureau et passe par mon pare-feu.
J’ai mon jumphost Windows 11 minimal sur mon réseau de gestion Proxmox avec Tailscale. J’utilise Duo pour la 2FA RDP et je me connecte depuis mon portable ou mon bureau.
Duo 2FA pour RDP fonctionne très bien. J’ai aussi le RDP protégé par un pare-feu, limité aux adresses IP Tailscale spécifiques sur le jumphost, ainsi qu’à la 2FA pour Tailscale, bien sûr.
Mettre toujours au moins derrière un VPN avec 2FA.
Je connecte les boîtes de saut directement au pare-feu dans une zone de sécurité personnalisée. Elles ne sont accessibles par rien d’autre que le logiciel de contrôle à distance (BeyondTrust).
Mettez-le dans un VLAN isolé avec le pare-feu comme passerelle - ainsi vous avez des logs pour surveiller tout comportement suspect.
Juste une question, quel est le but principal de ton jump host ? En général, il sert à séparer des réseaux avec différents niveaux de sécurité, par exemple stations de travail et réseaux de gestion. Cependant, dans un homelab, tu n’as pas vraiment ces niveaux de sécurité, tu pourrais les ajouter mais cela complique inutilement.
Tu devrais pouvoir simplement configurer un VPN (comme Tailscale), et l’utiliser pour tout ce que tu ferais avec un jumphost. Aussi, il ne faut pas faire de redirection de port RDP vers le jumphost à distance (je ne sais pas si tu le fais). Si tu veux juste un hôte RDP pratique, je le mettrais dans le LAN Serveur Interne.
Ton nom d’utilisateur est approprié.
Les VLANs ne sont pas des contrôles de sécurité. Ce sont une façon de regrouper ou de séparer des plages d’adresses IP.
Il est beaucoup plus simple de faire ce que quelqu’un a déjà suggéré : utiliser Tailscale pour accéder aux serveurs nécessaires à la gestion, ainsi tu centralises l’authentification et tu peux utiliser ufw, le pare-feu Windows ou autre pour limiter l’accès. De plus, Tailscale peut désormais enregistrer tes sessions SSH.
L’autre option est Teleport, mais je pense qu’ils évoluent dans une direction licencée par Redhat/Hashi, garde cela en tête.
Pourquoi ai-je besoin d’Apache Guacamole ? Pour un accès externe ? Si oui, il serait peut-être plus logique d’ajouter un client VPN au jumphost (comme Wireguard) + une 2FA via RDP ?
Duo 2fa pour RDP fonctionne très bien.
Je suis d’accord. Ça fonctionne très bien. Je l’utilise depuis 5 ans sans problème (sauf si l’heure de ton serveur est lente ou rapide, l’authentification ne peut pas se faire, mais c’est hors de faute de Duo).
Actuellement, tous les clients (appareils familiaux) peuvent accéder aux identifiants administrateur de PVE, PBS etc. Je veux limiter à un seul hôte - c’est pourquoi je veux « créer / mettre en œuvre » un jumphost.
Aussi, pour la création des règles de pare-feu, je ne permets l’accès que depuis le jumphost, pas depuis tous les clients. (Je pense que c’est un petit gain de sécurité, non ?)
Je veux aussi sécuriser le jumphost avec 2FA.
Tout d’abord, RDP /ne/ doit jamais passer directement sur Internet.
Deuxièmement, tu aurais besoin que le jumphost soit un serveur VPN pour ce que tu envisages.
Troisièmement, RDP /ne/ doit jamais passer directement sur Internet.
Tu dois aussi équilibrer la praticité - que faire si le jumphost est hors ligne, ou si une mise à jour Windows le force à redémarrer alors que tu fais une maintenance critique ? En dehors d’une optique sécurité, quel est ton modèle de menace - que ta famille soit secrètement de hackers maléfiques ? Personnellement, je le mettrais simplement en firewall séparé du réseau IoT et du réseau invité (et DMZ si j’en avais un).
Aussi, en tant que professionnel, interagir avec tout via un hôte de saut RDP peut être très agaçant. (Au moins, un hôte de saut Linux permet le transfert de ports). Si tu es un peu prudent, envisage un VPN de gestion interne uniquement avec 2FA. Même si cela peut toujours avoir le problème du point de défaillance unique.
Tout d’abord, RDP /ne/ doit jamais passer directement sur Internet.
Et si, dans une circonstance, il doit passer directement sur Internet, NE PAS utiliser le port standard 3389.
C’est le pire cas. Juste ne le fais pas. Utilise un VPN ou autre.
Apache Guacamole n’est qu’une passerelle pour RDP, VNC, et SSH. Elle te permet d’utiliser une authentification web classique pour accéder, contrairement au RDP qui semble avoir une vulnérabilité de contournement de l’authentification découverte tous les quelques mois.