Configuration réseau local et accès externes : ssh, NAT, PNAT, UPnP, DMZ

J’ai un peu raffiné mon coupe-feu sur mes deux pingouins et je suis allé voir sur mon iMac en Mac OS 10.6 mais ça m’a l’air terriblement simpliste de ce côté-là. J’ai cru comprendre que depuis 10.7 c’est mieux mais ça ne m’arrange pas vraiment.

J’ai ssh qui est ouvert, ce dont j’ai besoin, et dans les préférences de partage j’ai l’accès limité à mon compte depuis le réseau mais j’aimerais tout de même que ce soit limité aux adresses de mon réseau interne. Tel que c’est, au moins ne peut-on pas se loguer root mais tout de même, je n’aime pas trop ça.

Je pense que ça doit être possible de triturer des fichiers de configuration pour faire ça mais je ne peux pas m’inspirer de linux puisque j’ai fait tout ça en interface graphique. Avez-vous une idée d’un utilitaire pour mac qui permette de configurer un peu plus finement que les préférences système ?

Ou alors, si vraiment il le faut, quels fichiers peuvent être édités ? Des trucs du genre hosts ou je ne sais quoi de ce genre. J’ai bien essayé de modifier hosts mais ça n’a rien fait de bon…

Ben le coupe-feu est applicatif. C'est comme ça depuis 10.5. Je ne vois pas ce qu'on aurait amélioré en 10.7. C'est toujours pareil. En dessous t'as Packet Filter au lieu de IPFW mais je ne vois pas le rapport.

Ton problème c'est plus les partages que le coupe-feu, ce me semble.

J'ai l'impression que tu mélanges un peu deux logiques, celle des pingouins et celle d'OS X. Pas bon.

Concernant le partage de session, t'as ça : http://quick-tutoriel.com/activer-le-serveur-ssh-de-mac-osx-facilement/

On retrouve ici ta problématique Linux/OSX : http://superuser.com/questions/364304/how-do-i-configure-ssh-on-os-x

Dans la série "sous le capot", il y a aussi ceci : http://serverfault.com/questions/18761/how-to-change-sshd-port-on-mac-os-x


Les Saintes-Ecritures : https://developer.apple.com/library/mac/#documentation/Darwin/Reference/ManPages/man5/ssh_config.5.html

Je reformule : tu te connectes en ssh à ton Mac et tu ne veux pas que quelqu'un qui est sur internet puisse se connecter. C'est ça ?

Merci w pour les liens. Je note et j’irai lire de toute façon, il y aura toujours quelque chose à en tirer.
Ceci dit, linux et unix, je ne crois pas que ça change grand chose dans le principe pour le réseau. Pour la plupart des choses, c’est vraiment pareil. Le problème n’est pas spécifique à ssh, c’est juste le point qui me turlupine le plus pour des questions de sécurité. J’ai le même problème avec http, pas envie qu’on scrute mon serveur interne depuis la banlieue de Pékin (moyen).

Et puis pareil pour afp que j’utilise entre macs et dont j’ignore absolument comment en retreindre l’accès au réseau local. Mais c’est peut-être par nature, je ne sais pas s’il est même possible de passer par ce protocole hors d’un réseau local.

TG a écrit:

Je reformule : tu te connectes en ssh à ton Mac et tu ne veux pas que quelqu'un qui est sur internet puisse se connecter. C'est ça ?

Vouallah ! Xactement pile ça !

Bon. C'est assez simple. Si ton accès est assuré par un routeur (ou une box réglée en mode routeur), il n'est pas possible de joindre de l'extérieur une machine à l'intérieur sans programmer spécialement le routeur. Et j'imagine que tu n'as pas touché aux réglages de ta box. Donc, ne fais rien et ne crains rien.

Bémol.

Si tu as activé le WiFi, on peut être dehors de chez toi et dedans ton réseau local.

TG a écrit:

Bon. C'est assez simple. Si ton accès est assuré par un routeur (ou une box réglée en mode routeur), il n'est pas possible de joindre de l'extérieur une machine à l'intérieur sans programmer spécialement le routeur.

Bon, voilà qui me va bien ! J’ai un petit routeur trendnet assez vieux dont le firmware a eu une mise à jour il y a bien des années. Une faille n’est pas inimaginable.

TG a écrit:

Et j'imagine que tu n'as pas touché aux réglages de ta box. Donc, ne fais rien et ne crains rien.

Non, je n’ai effectivement rien modifié.

TG a écrit:

Bémol.
Si tu as activé le WiFi, on peut être dehors de chez toi et dedans ton réseau local.

Non, je ne wifite pas et j’ai désactivé le wifi sur les deux iMacs qui sont les seuls à avoir une interface wifi. Le routeur est purement ethernet. En fouinant à partir des liens de W et en cherchant dans des docs chez les pingouins, je suis tombé sur pas mal de choses qui concernaient le wifi et ça ne m’a pas vraiment donné envie d’utiliser ça. Quand on y pense, c’est un peu un câble connecté à son réseau avec une extrémité qui traîne dans la rue…

Good.

Si tu souhaites faire des contrôles, sache que, pour surfer sur le net avec plusieurs machines au travers d'une seule adresse, il faut utiliser un mécanisme appelé NAT (Network address translation. Les routeurs LAN-WAN, tels les box, sont par défaut réglés/conçus pour marcher en NAT.). Ca marche dans un sens mais pas dans l'autre : tu peux sortir mais pour rentrer, le routeur ne sait pas où envoyer les trames, alors il ne les envoie pas.

Sauf si tu actives des mécanismes tels que PNAT (Port and network address translation ou redirection de port), virtual server (en gros, c'est du PNAT) ou que tu déclares une DMZ et que tu places un ordi dedans (c'est à dire que tu déclares l'adresse IP de ta machine comme adresse DMZ. Dans ce cas, toutes les trames non aiguillées par PNAT ou les serveurs virtuels sont envoyées à la DMZ. Dangereux).

Exemple : les trames reçues de l'extérieur sur le port 5555 sont aiguillées sur le port 5555 de la machine 192.168.128.4 (on aurait pu changer le port au passage, par exemple 8080 vers 80):


Parfois, on peut aiguiller toute une plage de ports (mais alors, on ne peut pas en changer le n°, en tout cas dans cet exemple tiré de la Freebox) :


Et le reste est aiguillé vers la machine 192.168.128.234 (si elle existe, bien sûr) :


Pour être complet, certains mécanismes créent des routages de port (type PNAT ou serveur virtuel) à la volée : c'est le cas d'UPnP (par exemple pour la voix et l'image dans les conférences iChat). Mais le routage des trames n'est alors assuré que pour la machine avec laquelle le canal UPnP a été ouvert. Risque limité. Et à condition que le routeur soit UPnP capable.

Sujet très intéressant, surtout avec les explications de TG. Il faudrait en changer le titre pour attirer les pékins.

Je dois pouvoir le faire en admin, mais ça s'appelle de la modération
Normalement, HR peut modifier son 1er post et modifier le titre de cette façon.

Le plus étonnant c’est que j’ai l’impression d’avoir assez bien compris ce que raconte TG…

Sur mon routeur j’avais déjà coché Discard PING from WAN side et la config de DMZ est vide. Les autres configs particulières aussi sont vides.

Pour dire que c’est un sujet qui n’est pas seulement théorique, juste un tout petit extrait des logs de mon routeur que je viens de prélever à l’instant :

Code:

[Fri Jul 05 10:41:26 2013]:[FW] **Port Scan Detected** 206.165.250.98
[Fri Jul 05 13:18:00 2013]:[FW] **Port Scan Detected** 173.194.34.14

Les deux adresses sont aux US. Pas de chinois à l’horizon pour l’instant. Mais visiblement les deux adresses ont pas mal insisté pour renifler devant ma porte. Ces deux lignes étaient en de nombreux exemplaires.
Par contre le routeur doit pas mal s’en sortir pour empêcher ça de rentrer parce que je n’ai rien de ce genre sur le PC. Sur le mac je n’ai pas regardé ce soir, il est déjà éteint.

Quant à changer le titre, je veux bien, évidemment, mais quoi pour bien cerner l’ensemble ?
Je retourne dans mes PNAT ? Non, pas assez parlant.
UPNP ruinée par les dépenses de Sarko ? Non, hors sujet.
Comment se protéger contre les intrusions en provenance d’internet ? Peut-être un peu trop vague, non ?
Je ne sais pas, je mets ça en attendant mais dites-moi un truc un peu moins tarte et j’éditerai.

Configuration réseau local et accès externes : ssh, NAT, PNAT, UPnP, DNZ.

Bien vu ! J’ai mis ça.

DMZ, pas DNZ

 
C’est pas de ma faute m’sieur ! J’ai copié/coller ce que W il a écrit, m’sieur ! C’est de la faute de W, m’sieur ! Il l’a fait exprès, chuis sûr !

Ça veut dire De-Militarized Zone, il me semble, non ?
Faut configurer la DCA dans le routeur ?

Tu penses t'en tirer en disant que t'as copié !? Avec ce genre d'excuse, en plus de ma mauvaise note, mon instit' me collait « des lignes ».

Pour ce qui concerne les trames que ton routeur à loggées, ça signifie qu'il incorpore un firewall.
En plus de te protéger par nature grâce au NAT, il ajoute une batterie de contre-mesures essentiellement sous la forme de détection de situations dangereuses connues.
Il te signale, dans ton exemple, un portscan, opération visant à tester et découvrir les ports ouverts pour une adresse IP donnée. En l'occurrence, il faudrait que tu aies utilisé les mécanismes cités plus haut. Certains le font et placent, par exemple, une machine volontairement exposée en DMZ. On appelle cette machine un pot de miel. L'idées est d'enregistrer les attaques pour apprendre qui les mène et comment avant, éventuellement, de riposter.

Les contre-mesures (pas uniquement celle du routeur) vont donc des mesures passives (détection, enregistrement) aux mesures actives (réaction, contre-attaque).
Au titre des réaction, ton routeur pourrait, par exemple, fermer momentanément tous les ports ouverts (par PNAT, virtual servers ou DMZ) en présence d'un portscan. Plus intelligemment, il ne les fermerait que pour l'adresse à l'initiative du portscan (mais les attaquants savent scanner avec une adresse et attaquer avec une autre. Ils sont au courant des mécanismes).
Il est possible qu'il te permette de recevoir un mail en cas d'attaque ou de situation anormale. Regarde.

Les firewall même les plus simples sont de type SPI.

TG a écrit:

Tu penses t'en tirer en disant que t'as copié !?

Bouhouhou ! Oui, je croyais…

TG a écrit:

Avec ce genre d'excuse, en plus de ma mauvaise note, mon instit' me collait « des lignes ».

Mais on est toujours en ligne quand on écrit sur internet !

TG a écrit:

Pour ce qui concerne les trames que ton routeur à loggées, ça signifie qu'il incorpore un firewall.

Oui, c’est même écrit dedans. J’ai laissé la config par défaut. Coché pas de réponse au ping.

TG a écrit:

En plus de te protéger par nature grâce au NAT, il ajoute une batterie de contre-mesures essentiellement sous la forme de détection de situations dangereuses connues.
Il te signale, dans ton exemple, un portscan, opération visant à tester et découvrir les ports ouverts pour une adresse IP donnée.

Je ne sais pas ce qu’il en fait. Peut-être bloque-t-il, je n’ai jamais vu une série de plus d’une demi-douzaine de tentative. Il faudrait que je lise la doc.

TG a écrit:

En l'occurrence, il faudrait que tu aies utilisé les mécanismes cités plus haut. Certains le font et placent, par exemple, une machine volontairement exposée en DMZ. On appelle cette machine un pot de miel. L'idées est d'enregistrer les attaques pour apprendre qui les mène et comment avant, éventuellement, de riposter.

Ah bon, mais ça fait une machine spéciale pour ça. Un peu comme les mots de passe craqués qui donnent un accès assez facile à une arborescence prometteuse mais en fait bourrée de choses sans intérêt dans un labyrinthe tortueux, histoire de gagner du temps et de riposter.

TG a écrit:

Les contre-mesures (pas uniquement celle du routeur) vont donc des mesures passives (détection, enregistrement) aux mesures actives (réaction, contre-attaque).
Au titre des réaction, ton routeur pourrait, par exemple, fermer momentanément tous les ports ouverts (par PNAT, virtual servers ou DMZ) en présence d'un portscan. Plus intelligemment, il ne les fermerait que pour l'adresse à l'initiative du portscan (mais les attaquants savent scanner avec une adresse et attaquer avec une autre. Ils sont au courant des mécanismes).

Sur linux j’ai un truc qui s’appelle fail2ban et qui bloque une IP après une tentative répétée (configurée sur 6 essais) de se loguer. J’ai essayé avec une adresse locale bidon, à la sixième tentative, je n’ai plus eu de réponse. Ça marche bien ce truc. J’ai peut-être ça aussi dans mon routeur.

TG a écrit:

Il est possible qu'il te permette de recevoir un mail en cas d'attaque ou de situation anormale. Regarde.

Faut que je regarde dans la doc pour ça aussi mais je n’ai rien vu en parcourant la config. Je suis peut-être passé à côté.

TG a écrit:

Les firewall même les plus simples sont de type SPI.

Je vais lire ça aussi.

Je viens de regarder les logs du routeur, c’est assez intéressant.

Par exemple hier j’ai eu 41 scans de ports. Certaines adresses venaient des US, d’autres de France.
Il y a toujours un maximum de 10 scans venant de la même adresse, pas un de plus. J’en conclus que le routeur doit rejeter l’adresse après cette limite.

Un cas intéressant : une rafale de 6 scans venant de 173.194.40.170, une adresse aux US, puis, sept minutes plus tard, trois scans venant de 173.194.40.171 qui est l’adresse suivante. Si un hacker peut opérer à partir de plusieurs adresses, il peut en effet tenter d’aller au-delà de la limite de 10 tentatives avant le rejet par le routeur en continuant son scan depuis une adresse différente.

C'est toujours intéressant à regarder et analyser. Même si, sans la doc, c'est parfois assez opaque.

J’ai remis la main sur la doc, c’est une simple doc d’installation, presque rien sur la configuration de base. Alors les finesses du firewall, pas un mot.
Ah si ! Il y a une autre doc sur le cd mais qu’est-ce que j’ai pu en faire depuis 2008 ?

Quand je dis sans la doc, ça veut dire sans la doc qu'on ne te donne pas.
La plupart du temps, la partie firewall n'est pas documentée, ou si peu.
Il y a parfois une aide intégrée à l'appareil. Mais c'est souvent incomplet et j'ai constaté, les fois où j'en ai trouvé l'accès, que ces infos correspondaient à une ancienne version.
Le soft évolue, la doc est à la traîne.

Ah oui, dans ce cas c’est bon, celle qu’on ne m’a pas donnée, je ne l’ai effectivement pas…
Non mais sans rire, après avoir fouillé ailleurs que là où il était censée être, j’ai retrouvé le fichier de la doc complète que j’avais copié sur ma machine.
Finalement cette doc n’est pas mauvaise. Il y a même un minimum d’explications sur le sens des différents paramètres, DMZ, NAT, etc. et l’essentiel pour pouvoir configurer.
Avec tes explications et les quelques docs ça devient suffisamment clair. D’autant que la conclusion reste finalement toujours la même, c’est très bien comme ça, il ne faut rien toucher, ça s’autodémerde.
-------------------------
Interruption : j’ai commencé à modifier tous mes mots de passe qui étaient, à la réflexion, un peu trop faciles mais du coup je me suis emberlificoté les pinceaux dans ceux du modem et du routeur et je n’arrivais plus à me connecter ! Bon, ça remarche…

Ah ! C'est beau de voir naître une vocation