Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Securité réseau

marseillois

Bonjour à tous,

Je suis à la recherche d'avis autorisés concernant la sécurité sur un réseau domestique

Ma démarche :

Un ordinateur PIV 2.6 GhzJ'essaie d'installer mediatomb sur un ordinateur sous Lucid pour pouvoir regarder sur ma TV DLNA mes photos et videos présentes sur les Disques durs internes et externes .
Cet ordinateur est branché par RJ45 sur une Freebox qui alimente :
1 / un réseau installé à l'étage (Freebox, UC fixe& portables sous Windows et TV)
2 / mon réseau RJ45 au RDCh (switch alimenté par la box, UC Fixe en dual boot Windows/Ubuntu Lucid et portable en dual boot Windows/Ubuntu Natty , TV...)

Mon souci, les informations de la documentation Ubuntu/Mediatomb sur le Forum Ubuntu, qui m'inquiètent :
« Le serveur a intégré un gestionnaire de fichier au-travers du navigateur internet.
Configuré par défaut, il permet à n'importe qui de naviguer dans votre système de fichier et ainsi de télécharger n'importe quelle donnée. Dans un environnement non sécurisé, il est nécessaire de désactiver l'interface graphique :
ligne 4, paramétrer l'attribut enabled à no :
<ui enabled="no" />
Dans le contexte d'un environnement LAN, vous pouvez laisser l'interface graphique activée, tout en paramétrant la gestion de compte :
ligne 4, laissez l'attribut enabled à yes.
ligne 5, paramétrer l'attribut enabled à yes :
<accounts enabled="yes" session-timeout="30">
ligne 6, paramétrer les attributs user et password … »

Je précise que je n'ai ni Antivirus ni firewall sous Linux, au moins pour l'instant

Dans le fichier de configuration de la page web mediatomb j'ai la possibilité de préciser un mot de passe pour renseigner la page web avant qu'elle ouvre les fichiers

<ui enabled="yes" show-tooltips="yes">
<accounts enabled="yes" session-timeout="30">
<account user="mediatomb" password="mediatomb"/>
</accounts>

mes questions :

1 / Quelles différences entre un environnement non sécurisé et un réseau LAN
2 / Dans mon contexte de travail dois-je installer eun antivirus et/ou un firewall
3 / Tel que je l'ai décrit mon environnement est-il suffisamment sécurisé

Merci d'avance pour votre aide

erf

Les réseaux dit LAN sont des réseaux domestiques ou privées. Dans le contexte réseau non sécurisé sont des réseau avec un modem pour une connection internet sans pare-feux.

Un antivirus est inutile, sauf si tu te préoccupe du cas de windows(ton cas). Avis personnelle, pour le firewall, je te conseil d'en avoir un physiquement juste après le routeur free dans ton architecture réseau(architecture est différent de physiquement). Sachant que la freebox possède un firewall. Si tu veux installer un pare-feux
http://www.legeekcafe.com/tutoriels-64-securiser-son-ordinateur.html

Par principe, rien n'est jamais suffisamment sécurisé. Ma box posséde un firewall et pourtant... Je vois des scan arriver jusqu'au firewall de mon ordinateur(faute au Plug and Play)!

mangue

Bonjour,

Personnellement je dirais que tout environnement sur lequel il est possible de se connecter par wifi, sans cle WPA2 dont le mot de passe ne respecte pas certains criteres minimaux est un environnement "a risque".

Le seul environnement sur, serait un LAN non connecte a internet.

Deuxieme point, je ne sais pas si le couple login/password que tu donnes dans ta config est effectivement celui utilise, mais il n'est clairement pas securise.
d'apres how secure is my password, il faut environ 6 heures pour le casser.

Dois-tu installer un antivirus/firewall ?
Si tu utilises windows, le couple antivirus/firewall est obligatoire. En faisant attention a sa navigation, on peut eviter les infections stupides, mais personne n'est a l'abri d'un telechargement de fichier infecte.
Si tu utilises une disto linux, il possede un firewall integre : iptables. Il demande un peu de documentation pour le configurer, mais reste assez simple d'utilisation.

Si tu veux installer un firewall pour ton reseau, tu peux tres bien te servir d'une de tes machines pour le faire. Toujours avec iptables, entre ta box et ton LAN. Cela demande une machine avec deux cartes reseaux et un peu de documentation mais c'est faisable, pour le routage entre autre..
La deuxieme solution est de monter un proxy (squid par exemple) sur la machine precedement citee.

Je ne sais pas ce que vaux la freebox en terme de securite (configuration, firewall) par contre. donc d'ici difficile de dire si ton reseau est secure ou non.

Dans la doc, je lis qu'il faut se connecter au port http 49152. S'il ne sert que pour la connexion a l'interface web, tu bloques ce port avec iptables de l'exterieur de ta machine.
le port 1900 semble servir pour le flux multicast. Donc pourquoi pas ouvrir le port vers l'exterieur de ta machine, mais bloquer les connexions entrantes sur ce numero de port.

Tout ca pour dire que si tu veux un reseau secure, il faut simplement verrouiller les portes qui permettent d'y acceder, a toi d'en evaluer l'utilite.

marseillois

Bonjour erf & mangue

Merci pour vos réponses documentées et pardon pour le délai de réponse, j'ai du m'absenter precipitament et je reprends mes travaux dès mon retour

Les réseaux dit LAN sont des réseaux domestiques ou privées. Dans le contexte réseau non sécurisé sont des réseau avec un modem pour une connection internet sans pare-feux.

J'essaie donc de monter un réseau privé (mon installlation RJ45 du rez de chaussée) ouvert sur un réseau Internet (l'alimentation Internet par la freebox de l'étage ) avec les protections suivantes : le firewall de la freebox, les antivirus Kasperky et le parefeu Windows pour les PCs de l'étage , une suite de sécurité Kaspersky et le parefeu Windows pour la partie Windows des PCs du rez de chaussée , l'essentiel de mes travaux se faisant sous Ubuntu sans protection particulière à ce jour

je te conseil d'en avoir un physiquement juste après le routeur free dans ton architecture réseau(architecture est différent de physiquement)

Là,je ne suis pa sur de comprendre "physiquement juste après" : s'agit-il d'un ordinateur dédié comme le suggère la doc de legeekcafé ???

se connecter par wifi, sans cle WPA2 dont le mot de passe ne respecte pas certains criteres minimaux est un environnement "a risque

Je ne me connecte pas en Wifi , seuls les utilisateurs de l'étage le font : à priori, je n'envisageais pas de sécuriser l'ensemble, les appartements étant clairement différenciés, mais ceci étant pourquoi pas si ce n'est pas trop compliqué

je ne sais pas si le couple login/password que tu donnes dans ta config est effectivement celui utilise

Je peux, et j'envisageais de le faire, modifier tout ou partie du couple

Si tu veux installer un firewall pour ton reseau, tu peux tres bien te servir d'une de tes machines pour le faire

Pour la solution avec 2 cartes réseau, je ne dispose pas du matériel adapté et mes ordi ne sont pas jeunes, par contre pourrais-tu expliciter un peu la seconde

je lis qu'il faut se connecter au port http 49152. S'il ne sert que pour la connexion a l'interface web, tu bloques ce port avec iptables de l'exterieur de ta machine.

Je ne comprends pas bien "... de l'extérieur de ta machine "

le port 1900 semble servir pour le flux multicast

Qu'est le flux multicast ???

En espérant vos réponses, je continue naturellement mes reccherches personnelles pour mieux comprendre le sujet

Merci d'avance
A+

Purdey

Bonjour Marseillois,

J'utilise comme toi mediatomb. Sans être un expert de la sécurité et au vu de ta config réseau, je te dirais de pas trop te casser la tête. Si comme moi il s'agit de ton réseau à toi, (que tu partages pas ta connexion internet avec tes voisins par exemple), que ton wifi est sécurisé en WPA2, voire filtré par adresse mac, que le firewall de ta box est réglé par défaut en niveau moyen, ben tu crains pas grand chose de plus avec mediatomb.
Le fait que mediatomb utilise un serveur web pour être configuré : ben oui, tu entres Adresse_IP_de_mon_PC:49152 sur le navigateur favori de ton PC hôte ou sur un autre de ton réseau et tu auras accés à la config de mediatomb et donc à l'arborescence de ton système linux. ça s'arrête là.
Sauf évidemment si tu partages ta connexion, que ton wifi est ouvert aux quatres vents etc...
Le mot de passe, c'est vraiment histoire de dire que ton gamin ne tripatouille pas dedans parce que pour le coup c'est le niveau zéro question sécurité.
Je te ferais remarquer que ta box a aussi un serveur web pour la configurer. Avec un mot de passe encore plus ridicule, style root/root, admin/admin... Donc si quelqu'un a accés à ton LAN et ben il a accés à la config de ta box. Bref il peut faire ce qu'il veut de ton réseau et de ton accès internet.
Enfin, dernier point, mediatomb diffuse (broadcast multicast?) sur le port 1900 : c'est celui qu'utilisera ta télé ou ton décodeur pour accéder au contenu du serveur média de ton PC hôte. Pas plus de problème.
Perso, le seul truc qui m'embêtait, c'était que le service mediatomb démarre à chaque boot de mon PC. Mais ça se configure aussi à la demande.
Depuis peu j'ai récupéré un vieux PC que j'utilise comme serveur media avec mediatomb. Donc là, encore moins de problèmes :-)
Bref, keep cool, et bonne continuation!

mangue

Salut Marseillois

Les conseils de Purdey sont pertinents. Inutile de trop te prendre la tete si tu es chez toi et que tu as un minimum de securite sur ta box.

Pour le reste de tes questions sur la securite, cela demanderait des pages d'explications que tu comprendrais bien mieux en cherchant toi meme les reponses. Rien de desobligeant, c'est juste que cela te donnerais une vraie possibilites de comprendre les mecanismes.

L'adresse mulitcast de diffusion sur le port 1900 est 239.255.255.250.
C'est a dire que ton serveur mediatomb va envoyer le flux audio/video sur cette adresse de diffusion, et tous les equipements qui "ecoutent" sur cette adresse pourront lire le flux, comme ta tele par exemple. Par contre un flux multicast n'est jamais route (nativement) par routeur, donc il ne sera diffuse que sur ton LAN.

marseillois

Bonjour purdey,erf & mangue et merci pour vos conseils argumentés, j'en ferai mon profit

Ils me sont bien utiles pour me rassurer quant à la sécurité de mon installation, mais comme le conseilles mangue, je continue à me documenter sur ce sujet, et bien d'autres, car j'aime bien comprendre,

Le Wifi est sécurisé en WPA2 : la coonexion appartient au propriétaire de la box (étage)
Au vu de vos conseils et explications je vais activer iptables sur mes ordinateurs du rez de chaussée pour améliorer ma sécurité

Ceci étant, une question reste : dans ma configuration, la box est utilisée par deux groupes d'équipements différenciés, un à l'étage, l'autre au rez de chaussée, par des utilisateurs diffèrents (moi-meme, mes enfants et mes petits enfants) .Doit-on parler de connexion partagée, en référence à la restriction de purdey sur le partage de connexion : il s'agit bien de voisins, .

Merci d'avance

A + sur le forum

mangue

La connexion est bien partagee a partir du moment ou vous etes tous sur la meme box (routeur) a l'interieur du meme lan.

Quand Purdey parlais de "voisins" il faisait reference a ton voisinage "IRL"

Si tu ne configures pas de cle sur ta box pour ta connexion wifi, le fils du voisin pourra s'y connecter et utiliser ta connexion internet a ton insu, et par la meme occasion, dans le meilleur des cas, acceder aux partages de tes machines (pour les repertoires configures comme tel par defaut), et dans le pire des cas, bannir vos mac-address, mettre en place une cle sur TA box et t'empecher de t'y connecter.

Securiser ta box est vraiment la chose a faire en premier lieu, pour le reste, cela peut venir avec le temps et le connaissances que tu auras accumulee.

marseillois

Bonsoir mangue & merci ,

Je continue mes recherches comme conseillé et ne reviendrai sur le forum que si je bute vraiment sur un sujet particulier ou pour mettre un résumé de ma démarche quand elle sera terminée.

A+

marseillois

Bonjour à tous,

J'ai pu , suite à vos conseils, préparer ufw et mettre en œuvre les paramètres de gestion suivants :
entrées par défaut interdites
i@casegerard:~$ sudo ufw default deny incoming
Sorties interdites par défaut interdites
i@casegerard:~$ sudo ufw default deny outgoing
Activation de la Journalisation
@casegerard:~$ sudo ufw logging on
Autorisation du Http
braghini@casegerard:~$ sudo ufw allow out 80/tcp
Autorisation de dns
i@casegerard:~$ sudo ufw allow out 53/udp
Autorisation du https
i@casegerard:~$ sudo ufw allow out 443/tcp
Autorisation de vlc ( pour accéder sur l'UC aux chaines de free)
@casegerard:~$ sudo ufw allow out 554/tcp

Le résultat :
@casegerard:~$ sudo ufw status numbered
État : actif

Vers Action Depuis
---- ------ ------
[ 1] 80/tcp ALLOW OUT Anywhere (out)
[ 2] 53/udp ALLOW OUT Anywhere (out)
[ 3] 443/tcp ALLOW OUT Anywhere (out)
[ 4] 554/tcp ALLOW OUT Anywhere (out)

Qui semble marcher jusqu'ici pour internet
J'ai pu retrouver certains n°s de port dans les forums ou la journalisation de ufw, mais ça ne marche pas toujours : actuellement je cherche le port de vlc par exemple (le 554 /tcp que m'a donné la journalisation ne fonctionne pas )

Existe-t-il d'autres alternatives ???

En outre, en étudiant le log de ufw je me suis aperçu que bien que j'ai défini le paramètre deny pour les connexions entrantes ufw en a détecté :
Jun 8 09:50:31 casegerard kernel: [ 1377.489778] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.0.3 DST=212.27.38.253 LEN=44 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=56899 DPT=32783 LEN=24
Jun 8 09:50:48 casegerard kernel: [ 1395.025495] [UFW BLOCK] IN=eth0 OUT= MAC=00:10:dc:de:72:0f:00:07:cb:97:59:c8:08:00 SRC=212.27.38.253 DST=192.168.0.3 LEN=1356 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=51006 DPT=39476 LEN=1336

@casegerard:~$ whois 212.27.38.253
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '212.27.38.0 - 212.27.38.255'

inetnum: 212.27.38.0 - 212.27.38.255
netname: FR-PROXAD
descr: Proxad / Free Telecom
descr: Backbone Loopback interface (infra)
country: FR
admin-c: TCP8-RIPE
tech-c: TCP8-RIPE
status: ASSIGNED PA
mnt-by: PROXAD-MNT
source: RIPE # Filtered
remarks: INFRA-AW

role: Technical Contact for ProXad
address: Free SAS / ProXad
address: 8, rue de la Ville L'Eveque
address: 75008 Paris
phone: +33 1 73 50 20 00
fax-no: +33 1 73 92 25 69
remarks: trouble: Information: http://www.proxad.net/
remarks: trouble: Spam/Abuse requests: mailto:abuse@proxad.net
admin-c: APfP1-RIPE
tech-c: TPfP1-RIPE
nic-hdl: TCP8-RIPE
mnt-by: PROXAD-MNT
source: RIPE # Filtered
abuse-mailbox: abuse@proxad.net

% Information related to '212.27.32.0/19AS12322'

route: 212.27.32.0/19
descr: ProXad network / Free SA
descr: Paris, France
origin: AS12322
mnt-by: PROXAD-MNT
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.9.4 (WHOIS3)

Quelqu'un a-t-il une idée du pourquoi et aussi du risque éventuel ???

En attendant je poursuis mes recherches

Merci d'avance & à+