Dans l'article précédent https://blog.raspot.in/fr/blog/mise-en-place-du-sdn-sur-promox-7, nous avons vu comment mettre en place le SDN sur un cluster Proxmox VE 7 à travers la création d'un réseau virtuel basé sur VxLAN. Dans cet article, nous allons sécuriser ce réseau virtuel en se basant sur IPSEC.
Il arrive que nous ne souhaitons pas mettre une machine virtuelle ou un conteneur directement accessible depuis le réseau externe comme dans le cas d'utilisation d'une DMZ. Quand on utilise un seul noeud Proxmox, une des méthodes les plus simples est de créer par exemple un bridge sans le rattacher à une interface réseau physique. Cependant quand il s'agit d'un cluster d'hyperviseur Proxmox, cette méthode est limitée car les machines virtuelles sont isolées au niveau d'un nœud. Au revoir donc tout le bénéfice de l'utilisation d'un cluster comme l'équilibrage de charges ou le HA. Il existe des solutions mais dont la mise en place est plus ou moins complexe et uniquement en CLI.
Au travail, nous utilisons RG-System en tant que RMM (mais aussi pour la sauvegarde/restauration et à terme en tant qu'Endpoint Security) par le biais de l'intégrateur Berger-Levrault. Ça marche bien mais cela a un coût. Bref ce n'est pas à la portée de toutes les bourses et ce n'est pas libre.
Récemment je suis tombé sur un article de Korben (https://korben.info/gerer-flotte-ordinateur-windows.html) présentant TacticalRMM.
Dans ce nouveau billet, nous allons voir comment centraliser les logs avec Rsyslog afin de les faire parser par un seul agent Crowdsec. Seul les bouncers tourneront sur les machines à protéger. Nous verrons aussi comment configurer Crowdsec afin de lui passer les chemins personnalisés vers les fichiers de logs.
Les bouncers (les "videurs" comme en boite de nuit) appliquent les décisions récupérés depuis l'API de Crowdsec. Dans notre cas, notre bouncer installé sur le serveur Nginx va récupérer les décisions (communautaires et locales) sur le serveur Crowdsec Local API et bloquer les IP des attaquants.
Maintenant que notre serveur CS Local API est monté et son API sécurisée, nous allons connecter un agent (qui permettra de remonter les alertes et les décisions).