1

Hello,

Un de mes collègue est féru de domotique et a tendance à peupler sa maison de tout un tas d'appareils électroniques (carte E/S pilotée par ethernet, NAS synology avec caméra de surveillances, un petit module qui lui ouvre la porte de son lotissement, etc.).

Sauf que dans le groupe, les ports sont pas très ouverts, donc il ne peut pas accéder à ses interfaces de contrôle. Du coup il se demande comment faire pour y accéder.

Pour l'instant il fait des redirections de port sur sa freebox en utilisant les 2/3 ports ouverts en sortie (80, 8080, etc.) qu'il redirege vers les ports de ses équipements.

Mais la question, c'est comment faire pour qu'il arrête de faire comme ça ?

A priori son idée était de regarder s'il pouvait prendre un ndd et associer des ports différents à des sous domaines qu'il créerait une bonne fois pour toute. Si je ne me trompe pas, c'est possible s'il a accès à la config apache du serveur vers lequel il fait pointer son ndd. Mais qui fait ça ? En mutualisé, c'est mort de chez mort ? Ca le botte pas trop d'avoir un serveur qui tourne en permanence chez lui, après il est partant pour mettre ça sur son synology, mais je ne sais pas si c'est simple à faire, quelqu'un connaît ?

Bref, est ce que quelqu'un aurait une idée, ou une expérience sur la problématique ?

2

je dirais laisser tomber, parce que depuis un emplacement professionnel ça s'appelle "accès non autorisé à un système informatique" et c'est puni.

3

Sinon, il peut aussi se faire un frontend web qu'il expose sur le net (protégé évidemment).
Ça règle le problème une fois pour toutes.

4

je dirais laisser tomber, parce que depuis un emplacement professionnel ça s'appelle "accès non autorisé à un système informatique" et c'est puni.


C'est vrai. Mais il le sait déjà.
Sinon, il peut aussi se faire un frontend web qu'il expose sur le net (protégé évidemment). Ça règle le problème une fois pour toutes.


Et y'a pas des solutions plus clefs en main que tout redévelloper à partir de 0 sur un serveur ? ^^

5

Il a pas de smartphone ? Si oui, pourquoi accéder à ses appareils depuis un PC du boulot plutôt que de le faire de son téléphone perso ?
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

6

squalyl (./2) :
je dirais laisser tomber, parce que depuis un emplacement professionnel ça s'appelle "accès non autorisé à un système informatique" et c'est puni.
Il n'a pas le droit d'aller sur les sites qu'il veut depuis son travail ? Le système auquel il souhaite accéder est le sien, il est autorisé à faire ce qu'il veut dessus. La seule question est de savoir si sa boite accepte qu'il traine sur internet.
avatar

7

vpn ou tunnel SSH ?
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

8

pokito (./1) :
un petit module qui lui ouvre la porte de son lotissement

il a fait un modile pour ouvrir la porte de la voisine aussi ? trilove
avatar
<<< Kernel Extremist©®™ >>>
Feel the power of (int16) !

9

10

trois lettres :

T O R
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

11

12

Tous les ports sont bloqués en sortie du réseau d'entreprise sauf les ports 80 et 8080. Il redirige donc les ports autorisés et donc accessibles dans sa Freebox pour accéder aux différents services chez lui. Je ne vois pas ce qui est interdit...
avatar

13

Ce que veux dire Saqulyl c'est que si les ports sont bloqués et empêchent la connexion à un contenu, outrepasser les règles est "contre la politique de l'entreprise".

Ensuite d'un point de vue technique, si la majorité des ports sont fermés, ce n'est pas pour nous fliquer et nous interdire des accès mais juste parce que à part le port 80 et consorts, rien n'est flitré avec la solution technique actuellement mise en place. Donc laisser des ports ouverts comme ça expose à des attaques (le FTP a été coupé pour ça il y a 1 mois).

Donc TOR à tester, sinon VPN, c'est bien ça ? Y'a pas moyen de faire tourner une telle redirection sur un service quelconque qui n'oblige pas à sortir 20€ par mois ou à auto héberger ce service (y'a bien un paquet VPN sur son synology mais par compatible avec le sien ...).

14

TOR ne coute rien, ne demande pas de serveur spécifique externe et ne demande globalement que du :80 :443 en sortie pour fonctionner ^^

Juste un service a installer (et encore sous windows il existe des version ultra easy a installer)
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

15

Ne pas filtrer les ports des connexions sortantes rend vulnérable à des attaques ? hum
Comme quoi par exemple ?

16

Je ne connais pas de protocole qui ne fait que du sortant ^^

Je vais tester TOR, merci.

17

spectras (./15) :
Ne pas filtrer les ports des connexions sortantes rend vulnérable à des attaques ? hum
Comme quoi par exemple ?

pas aux attaques, mais au contrôle à distance si la machine est déjà infectée.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

18

pokito (./16) :
Je ne connais pas de protocole qui ne fait que du sortant ^^
Presque tous.
Sur tous les firewalls modernes (post-2000) le bloquage se fait à l'initiation de la connexion. Sauf quelques rares anomalies genre FTP ou les protocoles P2P, les connexions sont toujours du client vers le serveur.

Le seul cas où filtrer les connexions sortantes a un intérêt c'est l'exemple donné par Flanker, le cas où le loup est dans la bergerie, et attend des instructions de l'extérieur pour agir. Ceci dit la plupart du temps ces loups utilisent des ports usuels, genre 80, et sont même souvent capables de passer par le proxy d'entreprise s'il y en a un.

19

J'espère quand même que le firewall est capable de faire un minimum de DPI... (et s'ils veulent faire les choses à fond, du MITM SSL)
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

20

Le firewall rarement surtout sur des tarifs qui restent non prohibitifs. Ce n'est pas tellement son rôle en fait et c'est compliqué à faire tout en gardant des performances raisonnables. Le truc c'est que les firewalls un minimum costauds font l'essentiel du filtrage sur des ASIC. La table des connexions est hardware.
Regarde le datasheet des 6500 par exemple, c'est une référence en matière de firewall d'entreprise, tu verras qu'il ne fait pas de DPI, la seule inspection un peu plus poussée consiste à repérer les ports annexes (genre FTP qui ouvre un flux data)

À la limite ce modèle est capable de déléguer une DPI, et uniquement sur des flux HTTP, HTTPS et FTP. Mais c'est une fonctionnalité récente et présente uniquement sur le haut de la gamme.

Si tu veux davantage de fonctionnalités il faut de l'équipement plus spécialisé. Soit mettre un proxy soit utiliser des appliances de sécurité spécialisées.

(tu trouves parfois du DPI sur de petits firewalls destinés à fournir des solutions clé en mains pour PME, qui sont généralement des firewalls purement logiciels, même si embarqués dans une appliance qui est en fait juste un petit serveur)

21

pencil
avatar
<<< Kernel Extremist©®™ >>>
Feel the power of (int16) !