La gestion et sécurisation de mes données

FTP

Chevalier Jedi
Allez... j'inaugure le nouveau thème de ce forum ! :geek:

Donc voici le résumé de la gestion et de la sécurisation de mes données perso...

Stockage_et_securisation_des_donnees.png


Comme vous pouvez le voir c'est très orienté "sécurité" :p

Voici les grands principes :
  • Les données des 3 PC sont dupliquées en temps réel sur le NAS maître (un Synology DS918+), par le client Drive.
  • Elles rejoignent mes données audio/vidéo (films, musiques, photos, vidéos perso, etc.)
  • ainsi que les sauvegardes de mes sites web rapatriées toutes les nuits automatiquement par lftp en sftp.
  • Une fois sur le NAS, les données sont immédiatement mirorées en RAID 1. Au cas où un disque lâche, aucune interruption de service, pas besoin de restauration, on continue sur une jambe le temps que le nouveau disque arrive.
  • Puis, l'ensemble des données du NAS sont automatiquement archivées toutes les nuits sur un NAS de backup distant (un Synology DS118) par Hyper Backup via un transfert chiffré. Il est prévu pour contenir 10 ans d'archives :
    - 1 backup journalier la semaine écoulée
    - 1 backup hebdomadaire le mois écoulé
    - 1 backup mensuel l'année écoulée
    - 1 backup annuel les 9 années qui suivent
  • Les données les plus importantes bénéficient d'une sauvegarde supplémentaire en temps réel chez tresorit où sont conservées 10 versions de chaque fichier. C'est l'un des rares (si ce n'est le seul) vrai service Zero Knowledge qui ne stock les données qu'en Europe.
  • Celles stockées sur mon laptop sont cryptées avec VeraCrypt, notamment pour sécuriser les déplacements à l'étranger.
  • Et enfin, j'ai aussi conservé un héritage du passé avec des sauvegardes déconnectées, accessibles facilement et à l'abri de virus qui crypteraient toutes les données de disques réseaux, réalisées via mon desktop grâce à l'excellent FreeFileSync.
Au niveau des accès maintenant :
  • L'accès à mon LAN ne se fait que via OpenVPN installé dès le routeur (et pas sur le NAS). Donc aucun port ouvert sur la box ou le NAS et la box est en mode Bridge.
  • Ensuite, même une fois sur le LAN, l'accès au NAS se fait par double authentification.
  • Idem pour le NAS de backup : OpenVPN + double authentification ; sauf que comme c'est pas chez moi, OpenVPN est installé sur le NAS et pas sur le routeur.
  • Les données sur ce NAS distant sont aussi cryptées évidement.
  • Et côté tresorit & OVH, dans les deux cas l'accès aux données se fait aussi via double authentification.
Enfin, un onduleur Eaton 5SC (Line Interactive sinusoïdale) sécurise l'alimentation de la box, du routeur, d'un switch (qui ne figure pas sur le schéma), du NAS maitre et du desktop. Le NAS a le serveur UPS activé et informe un client NUT sur le desktop si besoin (cf. tuto).

Voilà. C'est tout... pour le moment :geek:
Si vous avez des questions, vous êtes les bienvenus.
 

madkoin

Chevalier Jedi
Franchement, superbe installation, il est vrai que niveau sécurité c'est déjà du costaud. Concernant la double authentification (si l’info n'est pas trop sensible) tu utilise une version lié au mobile ? Car même si je ne suis pas parano, il apparait dans la presse (info/intox?) que les swap sim (demande de la part d’escrocs à l'opérateur de la victime une nouvelle sim pour pouvoir récupérer l’accès au numéro et ce qui vas avec) sont de plus en plus présent.

De même je m'était renseigner un petit peu sur OpenVPN et l'un des défaut c'est une seule connexion à la fois. Le routeur que tu as avec openVPN permet t'il de comblé cela ?
 

FTP

Chevalier Jedi
madkoin a dit:
Concernant la double authentification (si l’info n'est pas trop sensible) tu utilise une version lié au mobile ? Car même si je ne suis pas parano, il apparait dans la presse (info/intox?) que les swap sim (demande de la part d’escrocs à l'opérateur de la victime une nouvelle sim pour pouvoir récupérer l’accès au numéro et ce qui vas avec) sont de plus en plus présent.
Je n'utilise pas les SMS mais une app en local, ce que conseille finalement cet article... ;)
https://www.cnetfrance.fr/news/arnaque-a-la-carte-sim-plus-personne-n-est-a-l-abri-et-oubliez-l-authentification-a-deux-facteurs-39883869.htm


madkoin a dit:
De même je m'était renseigner un petit peu sur OpenVPN et l'un des défaut c'est une seule connexion à la fois. Le routeur que tu as avec openVPN permet t'il de comblé cela ?
J'ai pas de besoin d'avoir plus d'une connexion à la fois. Il n'y a qu'une seule autre personne qui a accès à mon LAN et il y a très peu de chance qu'on doive y accéder en même temps.

Mais une petite recherche montre qu'il est parfaitement possible d'avoir plusieurs accès OpenVPN. C'est pas une limitation propre à OpenVPN. D'ailleurs tous les fournisseurs de VPN proposent de multiples connexion OpenVPN sur les même serveurs.
Cette limitation ne vient pas non plus du routeur. Elle vient du logiciel qui sert de serveur VPN, de l'implémentation +/- simple d'OpenVPN dans ce logiciel.
Dans mon cas c'est le firmware DD-WRT. Et effectivement, par défaut l'interface graphique ne permet de paramétrer qu'un seul accès client. Mais on peut en paramétrer plus en ligne de commande...
https://forum.dd-wrt.com/phpBB2/viewtopic.php?t=317649
A titre d'exemple, Tomato semble lui permettre 2 clients et 2 serveurs dans le GUI.
Tout dépend du logiciel serveur :)
 

FTP

Chevalier Jedi
FX Cachem a dit:
Merci FTP pour ce partage... je ne connaissais pas Tresorit.
Tu peux avoir 3Go gratuit sans limitation de durée si tu veux l'essayer...
https://support.tresorit.com/hc/en-us/articles/227327447-Basic-plan-features-and-limitations
https://www.cloudwards.net/review/tresorit/
https://tresorit.com/files/smb-cloud-storage-buyers-guide.pdf (page 10) ;)
 

Urluberlu

Nouveau membre
Plutôt sympa comme installation !

Tu utilises quoi comme routeur ? J'en cherche un qui prends en charge OpenVPN pour pouvoir accéder à mes serveurs chez Scaleway, mais les prix me refroidissent ...

Le fait de passer ta box en mode bridge, ça te prive de TV ?
 

FTP

Chevalier Jedi
Urluberlu a dit:
Tu utilises quoi comme routeur ? J'en cherche un qui prends en charge OpenVPN pour pouvoir accéder à mes serveurs chez Scaleway, mais les prix me refroidissent ...
Asus RT-AC66U (109€ chez Amazon.fr) avec son firmware remplacé par DD-WRT.
T'as un client et un serveur OpenVPN.

Mais il y a des modèles plus récent. Celui-ci je l'ai acheté en 2012.

Urluberlu a dit:
Le fait de passer ta box en mode bridge, ça te prive de TV ?
Non.
https://www.forum-nas.fr/viewtopic.php?p=79611#p79611
 

FTP

Chevalier Jedi
Mise à jour :
  • Une sauvegarde quotidienne entièrement automatisée des fichiers & bases de données de mes sites web via lftp/sftp a été mise en place
  • Le disque du boîtier NexStar GX est passé d'un VelociRaptor 600Go à un Red Plus 4To pour passer d'un backup offline sélectif à un complet
  • Les disques du DS918+ sont passés de 2 Red Plus 4To à 2 Red Plus 8To car j'arrivais à 80% de remplissage (cf. promo Amazon.de)
  • Le disque du 2nd portable est passé d'un SSD 250Go à un SSD 500Go car il était aussi arrivé à 80% de remplissage (cf. promo Amazon.fr)


Au passage, petite précision pour ceux qui ont des sites web chez OVH (et vraisemblablement aussi chez d'autres hébergeurs).

Personnellement, je n'ai pas été touché par l’incendie de Strasbourg, mes données n'étant pas à Strasbourg.
Sécurité supplémentaire, l'ensemble de mes sites bénéficiaient de backups journaliers (fichiers et BDs) réalisés par OVH.

Sauf que... j'ai réalisé à cette occasion que les backups d'OVH étaient souvent stockés sur le même site que celui des serveurs de production, parfois même dans la même salle serveur !
Ughhh ! o_O

D'où la mise en place de l'automatisation de mes propres backups vers mon NAS maître, backups que je réalisais déjà avant, mais seulement une fois de temps en temps, à la main (car venant en plus des backups OVH).

A méditer donc... car je pense que cette situation doit être assez fréquente et beaucoup ne doivent pas en avoir conscience, tout rassurés qu'ils sont par la simple existence de backups quotidiens.
 
Haut