Gérer l'accès aux services d'un serveur maison

Bonjour,

Concernant la gestion de l'accès à un serveur sur mon PC maison, j'ai l'impression que cela se fait principalement au niveau du routeur (généralement la box du FAI). Sauf certains services (ssh) qui permettent parfois de limiter à certaines IP, plusieurs services que j'installe écoutent en "tout ou rien" (cad seuls 0.0.0.0 et 127.0.0.1 sont pris en compte, par exemple syncthing).

Si je comprends bien : les services du serveurs sont ouvert à tout le réseau (sauf si le logiciel permet de limiter à certaines IP), et c'est au niveau du routeur qu'on permet l'accès uniquement depuis le réseau local ou depuis tout le ninternet.
C'est parfaitement logique mais ça voudrait par exemple dire que dans le cas d'un ordinateur portable, selon à quel réseau je me relie, mes services pourraient être d'un coup ouverts au monde (je rassure, je compte pas mettre de services sur un portable, c'est juste pour l'exemple).

Pour l'instant, je suis encore en IPV4, mais je n'ai pas encore beaucoup étudié pour l'IPV6. Est-ce que ce sera toujours encore au niveau du routeur que l'accès se gèrera ?

Mots clés:

Réponses

  • août 2017 modifié

    bonsoir la réponse est OUI
    et dépends même du type routeur/FAI

    cas Free , les routeurs n'ont pas par defaut de firewall intégré , ouvrir IPv6 avec du ssh c'est assez risqué avec tout les malwares qui naviguent quelqu'il soit

    cas Orange , il y a toujours un firewall avec le routeur ( livebox3) , pas de ssh ,

    par contre dans les 2 cas Wifi , problème lié à la sécurité c'est pas si simple

    cas connexion externe sur un serveur à la maison , il faut mieux prévoir certains jours , des plages horaires et le sécuriser au maximum , ou préférer juste la connexion en local

    pour ssh : https://www.citizenz.info/openssh-securiser-l-acces-ssh

  • Si il n'existe aucune protection en amont ou une protection insuffisante, active le parefeu (iptables sous Linux) sur la machine faisant office de serveur.
    Pour la configuration, c'est méthode barbu (voir hyper barbu) avec les règles iptables, soit avec une des surcouches en ligne de commande également ou graphique (de tête ufw et gufw, il en existe d'autre dont les noms m'échappent).
    Pour le réglage, tout fermer et n'ouvrir que les ports adéquats ou souhaités pour les services concernés.

  • août 2017 modifié

    Merci pour vos réponses.
    Un point que je ne comprends pas : quel est l'intérêt d'un pare-feu sur le routeur ?

    Exemple : je mets un serveur web sur le PC 192.168.0.24 sur le port 8080. Si je ne fais rien, ce serveur n'est accessible qu'en local. L'adresse IPpublique:8080 ne mène à rien (puisque le routeur ne sait pas à quel PC de chez moi il correspond).
    Il faut que j'ouvre le port dans le routeur en indiquant de transférer le port 8080 sur 192.168.0.24.
    Donc en quelque sorte, ça bloque déjà les accès extérieurs à mes ordis sauf si je transfère explicitement un port ? Ou je me trompe ?

    Je viens de me relire et j'ai tilté que le routeur semble protéger les accès extérieurs mais laisse évidemment passer les connexions de l'intérieur vers l'extérieur, d'où l'utilité du pare-feu.

    (Et hop, Citizenz, un nouveau blog ajouté à mes flux :-)
    un autre tuto http://virologie.free.fr/documents/openSSH/ssh_configurations.html )

  • Ne pas mélanger routeur et pare-feu.
    Le routeur aiguille les paquets vers la bonne destination si il connait le chemin. C'est son boulot et il ne fait que ca (pour simplifier), il ne protège rien.
    Le pare feu protege le réseau des menaces extérieurs mais aussi intérieur.
    En général les deux services sont présent sur une même machine (box f.a.i. pare-feu matériel....).
    En fait tu ouvres le port pour laisser les trames traverser le pare-feu et tu les diriges vers la machine concernée grâce au routage.
    Le fait que le réseau interne traverse la box sans configuration particulière viens de la configuration de celle-ci de base et de l'upnp.
    Un pare feu en domaine professionnel par exemple ne laisse passer que ce que les règles permettent que ce soit dans le sens intérieur - extérieur ou inversement.
    Si la protection en tête de ton réseau est trop légère alors il faut soit la renforcer soit protèger de manière individuelle chacune des machines, un peu à l'image de ce que l'on faisait à l'époque du 56k ou du début de l'ADSL quand la machine était connectée directement au WEB (l'époque ZoneAlarm et les LowID sur Edonkey Emule :)) .
    L'intérêt du routeur sur le pare feu et de pouvoir faire ce que tu souhaites faire filtrer / rediriger.
    Le fait que ton routeur ne connaisse pas la destination ne signifie pas que ton réseau est protégé, juste qu'il ne sait pas à qui passer le ballon :-).

  • @Mickael a dit :
    Le fait que ton routeur ne connaisse pas la destination ne signifie pas que ton réseau est protégé, juste qu'il ne sait pas à qui passer le ballon :-).

    …oui, donc c'est une forme (faible et indirecte) de protection : les paquets resteront bloqués au niveau du routeur et n'iront pas plus loin dans le réseau local. Non ? Le fait que ça ne soit pas la fonction du routeur de bloquer les paquets n'empêche pas qu'il ait cet effet si sa table de routage est incomplète…
    Par contre, en IPv6, seul un pare-feu peut avoir cet effet, puisque l'adresse IP de la destination est directement accessible depuis l'extérieur, et la box n'est plus qu'un nœud de transfert du réseau, aucune traduction d'adresse interne/externe n'est nécessaire.
    J'affirme, mais c'est un appel à contradiction, hein, je ne suis en rien spécialiste du sujet :)

  • @Minami_o a dit :

    @Mickael a dit :

    Par contre, en IPv6, seul un pare-feu peut avoir cet effet, puisque l'adresse IP de la destination est directement accessible depuis l'extérieur, et la box n'est plus qu'un nœud de transfert du réseau, aucune traduction d'adresse interne/externe n'est nécessaire.

    Attends attends. Donc si je comprends bien, là où auparavent les box (et n'importe quel routeur) faisaient office de "pseudo pare-feu" depuis l'extérieur vers l'intérieur, maintenant tous les ports seront accessibles par défaut depuis l'extérieur ? (généralement, la fonction pare-feu des box est désactivée par défaut).

    jusqu'ici, les personnes qui n'y connaissaient rien en informatique avaient tout de même cette pseudo protection. Si maintenant on passe en IPV6, faudra qu'elles mettent les mains dans le camboui pour configurer un parefeu.

  • @Minami_o
    En simplifiant, oui si on veut ...
    Maintenant là ou le routeur ne fera pas suivre vers une direction qu'il ne connaît pas, le pare-feu bloquera tous les flux non autorisés en entrée/sortie.
    Le principe du non-routage pour empêcher des réseaux de communiquer entre-eux "protège" si c'est en interne, mais cela reste insuffisant pour les menaces issues d'internet.

    Les box ont un pare-feu "sommaire" activé par défaut qui couvre les menaces entrantes en partant du principe suivant :
    Tout est fermé pour l'extérieur sauf si la demande vient de l'intérieur.
    Pour une personne surfant de manière responsable, c'est suffisant. Pour un utilisateur ouvrant toutes les pièces jointes douteuses de ses courriels, la box est une passoire.
    Pour l'IPV6 il faudra un pare-feu en amont et/ou sur chaque machine en fonctionne de la configuration du réseau.

  • août 2017 modifié

    @Balistic a dit :

    @Minami_o a dit :

    @Mickael a dit :

    Par contre, en IPv6, seul un pare-feu peut avoir cet effet, puisque l'adresse IP de la destination est directement accessible depuis l'extérieur, et la box n'est plus qu'un nœud de transfert du réseau, aucune traduction d'adresse interne/externe n'est nécessaire.

    Attends attends. Donc si je comprends bien, là où auparavent les box (et n'importe quel routeur) faisaient office de "pseudo pare-feu" depuis l'extérieur vers l'intérieur, maintenant tous les ports seront accessibles par défaut depuis l'extérieur ? (généralement, la fonction pare-feu des box est désactivée par défaut).

    jusqu'ici, les personnes qui n'y connaissaient rien en informatique avaient tout de même cette pseudo protection. Si maintenant on passe en IPV6, faudra qu'elles mettent les mains dans le camboui pour configurer un parefeu.

    Un peu, mais pas vraiment.
    À cause de IPv4, une box ne sait pas a priori vers quel ordinateur envoyer un message arrivant sur un port extérieur.
    Avec IPv6 cette limite peut ne plus exister mais ce n'est pas obligatoire.
    Par ailleurs les box FAI actuelles bloquent les ports extérieurs, et elles le feront certainement toujours avec IPv6.
    Enfin, la délégation de sous-réseau de la box vers un autre ordinateur, pour exposer celui-ci sur le net, n'est pas systématique.

    Un gros avantage de IPv6 est qu'on va pouvoir limiter l'utilisation de NAT. C'est un routage automatique de milliers d'utilisateurs derrière une seule adresse.
    Le seul avantage concret est la réduction drastique du nombre d'adresses nécessaires pour adresser tous les utilisateurs, mais dans IPv6 on aura techniquement assez d'adresses pour l'éternité.
    IPv6 permet de ne plus être obligé d'utiliser cette techno, néanmoins on peut toujours le faire si on en a envie :)

    Ceci étant dit, même dans IPv4 actuellement il convient de ne pas exposer n'importe quoi sur le net même sans publier l'adresse IP.

    Lorsque j'ai connecté un serveur web pour la première fois derrière ma box, j'ai pu constaté que en même pas 2 heures des terminaux à Hong Kong l'avaient déjà contacté :| .
    Depuis, ce sont des robots de piratage de Wordpress qui se connectent tous les jours.
    Pourtant, l'adresse de ce serveur n'a que très peu été publiée.

    Moralité : l'obscurité n'est pas vraiment une protection en soi.

  • @Pazns a dit :
    Par ailleurs les box FAI actuelles bloquent les ports extérieurs, et elles le feront certainement toujours avec IPv6.

    Rien n'est moins sûr !
    Enfin en tous cas, pas la Freebox v6… Je ne vais pas vous raconter ma vie, mais ces jours-ci je suis en train de tester un système de synchro de dossiers, et j'ai été bien surpris de voir un transfert entre le tel de ma femme, pourtant sortie, et un PC a priori réduit au LAN (puisque sans redirections IPv4 sur la Freebox) se poursuivre comme si de rien n'était…
    Je n'ai pas vérifié, mais je ne vois pas d'autre moyen pour que ce transfert se soit poursuivi…

  • août 2017 modifié

    @Minami_o a dit :

    @Pazns a dit :
    Par ailleurs les box FAI actuelles bloquent les ports extérieurs, et elles le feront certainement toujours avec IPv6.

    puisque sans redirections IPv4 sur la Freebox) se poursuivre comme si de rien n'était…

    Pas non plus de redirection active dans l'interface du service UPnP IGD ?
    C'est un outil de configuration automatique de redirections.
    Un terminal dans le réseau local peut demander au routeur d'ouvrir un port et de lui renvoyer le trafic entrant.

    D'ailleurs, sur une Freebox ne serait-il pas possible de voir si un appareil a une IPv6 publique ? J'imagine qu'il devrait en apparaître deux dans l'interface de la freebox pour cet appareil, dans l'outil d'observation du réseau.
    L'adresse locale, commençant par FE80:, et l'adresse publique qui commence comme celle de la freebox, très probablement quelque chose dans une plage commençant par 2A01:
    L'adresse locale est totalement inoffensive, elle est limitée au sous-réseau allant jusqu'à la freebox.

  • Par maniaquerie (et sécurité), j'ai désactivé tous les gadgets type UPnP, AirPlay et autres DLNA de ma freebox.
    Par contre c'est peut-être un mécanisme spécifique de mon outil (Syncthing) qui a permis d'assurer le transfert, il faudrait refaire un test dédié avec par exemple un service web pour vérifier comment la freebox gère...
  • @Mickael a dit :
    Si il n'existe aucune protection en amont ou une protection insuffisante, active le parefeu (iptables sous Linux) sur la machine faisant office de serveur.
    Pour la configuration, c'est méthode barbu (voir hyper barbu) avec les règles iptables, soit avec une des surcouches en ligne de commande également ou graphique (de tête ufw et gufw, il en existe d'autre dont les noms m'échappent).
    Pour le réglage, tout fermer et n'ouvrir que les ports adéquats ou souhaités pour les services concernés.

    Ben oui, évidemment, je n'avais pas du tout réfléchi à cela.
    Simplement mettre des règles allow from 192.168.0.* pour ne permettre l'accès sur les ports que depuis les PC du réseau local.
    ça marche bien ?

    @Minami_o a dit :
    Par maniaquerie (et sécurité), j'ai désactivé tous les gadgets type UPnP, AirPlay et autres DLNA de ma freebox.
    Par contre c'est peut-être un mécanisme spécifique de mon outil (Syncthing) qui a permis d'assurer le transfert, il faudrait refaire un test dédié avec par exemple un service web pour vérifier comment la freebox gère...

    Pour syncthing, faut vérifier si tu as coché "découverte globale". Si oui, alors le logiciel va chercher les autres devices sur internet, et comme il existe des relays justement pour éviter le problème des routeurs (cad les deux devices se connectent au relay), la synchro a pu se poursuivre sans problèmes.

  • Oui c'est exactement ça, dans mon cas c'était actif, et les relais ont fait... relais :)
Connectez-vous ou Inscrivez-vous pour répondre.