BenjyNet Posté(e) le 10 avril 2014 Signaler Posté(e) le 10 avril 2014 Je l'ai déjàlu ce truc mais c'est après, je ne vois pas comment quand je suis au boulot me connecter àmon vpn.
Shad Posté(e) le 10 avril 2014 Signaler Posté(e) le 10 avril 2014 Il te faut un client vpn au bureau.
Lazer Posté(e) le 10 avril 2014 Signaler Posté(e) le 10 avril 2014 Oui sauf que si le proxy du taf bloque les ports autres que HTTP et HTTPS tu peux être certain qu'il bloque aussi le VPN. Pour le tuto sur le reverse proxy j'essaierai de m'y mettre quand je serai rentré, la semaine prochaine. 1
BenjyNet Posté(e) le 10 avril 2014 Signaler Posté(e) le 10 avril 2014 Hum, non je pense pas, teamviewer fonctionne sur ce principe non ? En tout cas ça marche au boulot.
Lazer Posté(e) le 10 avril 2014 Signaler Posté(e) le 10 avril 2014 Non teamvviewer passe par les serveurs de Teamviewer , donc pas de pb de port
Fredric Posté(e) le 11 avril 2014 Signaler Posté(e) le 11 avril 2014 c'est une de leur force, ils passent quasiment àtravers tout.
p78ch201 Posté(e) le 11 avril 2014 Signaler Posté(e) le 11 avril 2014 Il y a des sites internet qui propose de scanner les ports ouverts de ton réseau. Pratique pour trouver un port adéquat Perso ça me gêne un peu de contrôler un Pc a distance en passant par un serveur tiers... Bonjour la confidentialité 1
Shad Posté(e) le 11 avril 2014 Signaler Posté(e) le 11 avril 2014 c'est une de leur force, ils passent quasiment à travers tout. Moi j'ai réussie à les bloquer Plus de skype a ceux qui en n'ont pas besoin la journée.
Fredric Posté(e) le 11 avril 2014 Signaler Posté(e) le 11 avril 2014 oui, c'est possible de les bloquer, heureusement, mais dans un cadre par-feux standard, voir même un niveau élevé, ils passent. Perso, je le bloque pas, je m'en sers un peux, mais Skype, face de bouc et compagnie, ça je bloque et je peux te dire qu'ils redoublent d'imagination pour essayer de contourner je crois que je suis HS
Shad Posté(e) le 11 avril 2014 Signaler Posté(e) le 11 avril 2014 Lol, perso à force de bloquer de tout les côtés , surveiller mes logs etc ... Donc dès que je vois un abus de bloque pendant une semaine Xd, certains ont finis par venir avec un pc portable + box wimax ^^. Sinon une solution que je recommande tout simplement mais qui coute un petit peu d'argent, je me suis pris un vps que j'ai sécurisé, (9€ par mois mais il y en a encore des moins cher) connecter en vpn chez moi , et des que j'ai besoin de quelque chose, j'ai juste à me connecter dessus avec un tunnel et hop je suis connecter chez moi
acidric Posté(e) le 11 avril 2014 Signaler Posté(e) le 11 avril 2014 Bon, je vais tacher d'apporter mon point de vue, mais avant je tiens à vous préciser que je travaille dans la sécurité informatique (au sens large), donc mon point de vue n'est surement pas objectif... C'est un peu comme de demander à un pompier de paris, si rouler en scooter sur le périph c'est dangereux [MODE PARANO ON] J'ai comme beaucoup d'entre vous le besoin de me connecter à distance et uniquement via le port 80, voir même une grosse préférence pour le 443et pour rajouter à la complexité, sans aucun client additionel autre que IE ou chrome Je travaille dans une société ou la sécurité, est très renforcée, et hormis le port 443 en html5 point de salut (et même comme ca, je n'ai pas l'assurance de passer bien longtemps...) Personnelement je vais opter pour un reverse proxy Nginx sur un raspberry et un guacamole s'y j'y arrive sur le synology Mon but, avoir sur le port 443 (mais ca pourrait être le 80) une page web un ensemble d'icone qui redirige vers les services de ma maison - Web HC2 (oui, parceque, leur accès est bien, mais je préfère un accès direct, et sans aucune limitation, ex:import de périphérique virtuel) - Web Eco device - Web freebox - Web mot de pass (webkeepass pour ceux qui connaissent) - web service de fichier - web squeezebox server pour démarrer la musique dans la chambre de ma fille quand il est l'heure d'aller au lit - RDP pour prendre la main sur mes machines sans client, presque invisible (guacamole) .... l'étape ultime, une identification unique pour n'importe qu'elle des applications ci-dessus... mais là ... Je pense pas faire ca avant 2 semaines, mais si je peux, j'essaierai de faire un petit tuto pour ceux que ca intéresse... Quelques liens plus bas en dessous des softs que seront utilisés @lazer Merci à toi, je viens de découvrir haproxy, mais, après rélexion, je pense que je vais mettre mon reverse proxy sur un raspberry, comme ca, en cas de faille ou d'attaque réussi, l'attaquant se trouve sur un raspberry et non sur mon synology, il faut donc qu'il fasse encore un bon pour récupérer des données. Donc je reste sur mon idée de Nginx. @frederic oui teamviewer passe très souvent, mais il faut avoir confiance dans la société teamviewer, car c'est eux qui font le tiers de confiance, donc ils pourraient facilement voir ce qui transite... mais bien sur ils ne le font jamais enfin il parait ... enfin j'espère... De toute facon, pour moi au boulot, la question ne se pose pas, l'executable est détecté sur les postes et les flux aussi... par contre pour dépanner tata lucette qu'arrive pas à imprimer c'est génial... mais j'éviterai quand même de me connecter sur un compte paypal ou à une banque pendant son utilisation... @shad pour le vpn, une société qui laisse passer un truc aussi énorme que ca, ca existe encore ? (à part les PME, ou effectivement ils n'ont souvent pas les moyens humains pour comprendre les enjeux de la sécurité) par contre, une solution à privilégier pour ceux qui surf souvent depuis les hotels ou borne wifi gratuite... ca vous évitera bien des soucis.... chercher l'url du logiciel CAIN & ABEL par exemple, ca vous donnera une idée de qu'on peut faire sur un réseaux wifif ouvert... ca peut occuper aussi quand on est à l'hotel Sachez tout de même que pour des grosses sociétés, l'installation d'un vpn, teamviewer ou autre peut être à l'encontre de votre charte informatique que vous avez surement signé avec plein de papier sans lire... et qui peut vous valoir un petit rendez vous désagréable chez les RH, rien de grave généralement, mais quand même très désagrébable... mais effectivement, la plupart ne les détectent pas... @p78ch201 Je te confirme, scanner via un serveur tiers, c'est vraiment pas conseillé... [Mode parano off] liens vers une présentation et un tuto pour guacamol: http://korben.info/guacamole-vnc-rdp-ssh-serveur-gerer.html https://xavnet.wordpress.com/tag/https/ Pour ceux qui choisisent HAproxy, il existe en package synology http://gzu.me/listing-paquets-tiers-synology/ le liens pour le repository: http://packages.synocommunity.com Et enfin, nginx en tant que reverse proxy http://homeserver-diy.net/wiki/index.php?title=Installation_et_configuration_d%E2%80%99un_reverse_proxy_avec_NginX 1
p78ch201 Posté(e) le 11 avril 2014 Signaler Posté(e) le 11 avril 2014 HS ON j'avais fait mon scan dans une très grosse boite française (qui est connue pour fabriquer des trains ) et il etait un peu charlot quand meme, c'est pas réservé qu'au PME... il filtrait tout un tat de truc avec leur pare-feu (bluecoat a priori mais pas sur) mais en passant tout simplement par un proxy appspot (google est votre ami) on pouvait aller n'importe ou. comme quoi ... HS OFF ça m'interresse bien ton système, un tuto sera le bienvenue
Shad Posté(e) le 11 avril 2014 Signaler Posté(e) le 11 avril 2014 C'est moi qui gère mon réseaux donc je me laisse passé ce que je veux XD. Mais en étant au bureau je suis déjà connecté chez moi avec des nanostations, c'est plus quand je part en brousse pour faire différentes intervention pour contournez leur pseudo sécurité. Et il faut savoir qu'en afrique, tout administrateurs réseaux qui vient de france ne veux que du cisco, mais ne configure rien de spécial dessus, en plus clair avec avec des équipements TPlink etc, il ferait la même chose, aucun routing iptables ou quoi que ce soit. Les connexions internet je n'en parle même, je crois être une des seules sociétés à avoir mis en place différents système pour bloquer un maximum de protocole ou de site. L'autre chose, travaillant pour des groupes pétroliers, toutes leurs connexion internet surtout les vsat, sont routé sur leur système en europe, il y a 2 ou 3ans j'avais mis 10 min à contourné leur sécurité pour me mettre à joué et télécharger. Donc je peux te garantir que même ceux qui ont les moyens ne sécurise leur réseaux que pour les utilisateurs lambda. On va dire que dans ma boite il n'y a que 3 port d'ouvert par défaut sans filtrage (smtp, pop3 et dns), le reste est sois filtré, soit routé. Maintenant j'avais trouvé une autre application dans le même genre que guacamol qui était également très intéressant, d'ailleurs faudrait que je regarde pour la retrouvé et m'y remettre.
Domodial Posté(e) le 11 avril 2014 Signaler Posté(e) le 11 avril 2014 L'autre chose, travaillant pour des groupes pétroliers, toutes leurs connexion internet surtout les vsat, sont routé sur leur système en europe, il y a 2 ou 3ans j'avais mis 10 min àcontourné leur sécurité pour me mettre àjoué et télécharger. J'espère qu'ils ne vont pas lire ton message lol
acidric Posté(e) le 11 avril 2014 Signaler Posté(e) le 11 avril 2014 @p78ch201 Nous ne sommes pas en HS, puisque le début du sujet est un problème d'accès externe à la HC2, même si nous dévions un peu, nous sommes toujours sur ce sujet de toute facon, une boite qui se sécurise en misant tout sur les firewalls, même avec le meilleur matos et les meilleurs équipes a perdue d'avance si les postes internes on un lecteur CD et/ou les ports USB d'activé et/ou des utilisateurs administrateur de leur machine... mais la, c'est un vaste débat... @Shad c'est sur que dans ton cas, c'est beaucoup plus simple, effectivement je suis dans un cas particulier et non représentatif (banque/finance) car dans notre cas, il y a des controls régulier et sévère sur de multiple aspect de la sécurité (physique/logique/humaine) Je pense que la solution que tu connais doit être http://www.cybelesoft.com/thinrdp qui est pas mal aussi, que je testerai surement par la même occasion... L'avantage de ma solution, c'est qu'une fois en SSL sur le port 443, il est très difficile de l'identifier, mais pas impossible, sauf que la solution technique obligerait l'entreprise à usurper la connexion SSL et donc à rentrer dans l'illégalité (sauf petite ligne perdu dans votre charte informatique que vous avez signé sans lire...) Le seul moyen de le détecter, c'est de regarder les urls, si la personne n'a pas été suffisamenent rusée... du genre guacamole.hd.free.fr ou thin-rdp.monnomdedomaine.com sinon tant que le SSL est intègre, ni vu ni connu...ziiiouu En port 80 dans une entreprise bien équipé, ca ne sera pas bloqué, mais il est pas impossible que ca intrigue un admin un peu compétent, ou qu'il le bloque dans le doute...
Shad Posté(e) le 11 avril 2014 Signaler Posté(e) le 11 avril 2014 Je vois tout à fait ou tu veux en finir et sa m'intéresse fortement. Ce que j'avais trouvé c'était Adito/openvpn-als http://sourceforge.net/projects/openvpn-als/ qui fonctionne également avec ssl. Mais maintenant que j'ai ma société à côté de ce que je fais, il est clair qu'il faut que je me penche sur ce système pour pouvoir travailler depuis mes vacances etc... Je pense que je vais me faire quelque test sur xenserver d'ici peu.
Lazer Posté(e) le 12 avril 2014 Signaler Posté(e) le 12 avril 2014 Merci Acidric pour ces liens intéressants Du coup j'attends ton tuto avec impatience Mais ça sera plus compliqué à mettre en place qu'un simple haproxy, surtout que sur ce forum la plupart des gens n'ont qu'un Synology et pas forcément d'autre serveur. Moi j'ai un serveur ESX, donc potentiellement je fais tourner tout ce que je veux. Je peux même créer un second Xpenology pour séparer les fonctions afin d’accroitre la sécurité. Par exemple, pour le moment le serveur VPN est sur le Xpenology, mais il n'est pas exclu que je sépare également cette fonction. Je vais déjà faire tourner haproxy, et après on verra pour les trucs plus avancés. Le but à la base, c'est surtout de passer les proxy d'entreprise pour accéder à la HC2 et aux autres équipements de mon réseau. Ca me rappelle un temps où j'étais plus jeune et où je chrootait toutes les démons de mon serveur Debian, sans oublier bien sà»r de recompiler le noyau en excluant tous les modules inutiles. Faut croire que je n'avais que ça à faire Sinon en matière se sécurité dans les entreprises, je crois que j'ai du voir à peu près tous les cas de figure, du pire au mieux. Mais il y a toujours des fois où je suis surpris, genre une banque qui ne voulait pas me donner d'accès VPN car les autorisations d'accès étaient trop complexes, donc ils m'ont filé un accès teamviewer... Le problème quand tu mets trop de sécurité, c'est que les gens la contourne, et là c'est pire que tout (le fameux mot de passe à changer toutes les semaines sur un post-it sous le clavier)
acidric Posté(e) le 1 mai 2014 Signaler Posté(e) le 1 mai 2014 bon, je n'ai pas oublié... mais quand je vois les pattés que vous écrivez sur le forum, je culpablilise ;-) merde, comment font il pour trouver le temps d'écrire tout ca :-) du coup, aujourd'hui 1er mai, comme je bossais et que je savais que je serai tout seul au bureau, j'ai ramené un raspberry avec moi, en espérant trouver 1h ou 2h pour avancer un peu mais pas de cable réseau croisé, et mon portable que je pensais auto/mdix ne l'ai pas... pffff.... mais je n'oublie pas ma parole... j'ai commencé à bosser le sujet... mais pas assez de temps.. Par contre, je m'oriente sur un raspberry dédié pour le moment, mais si ca fonctionne sur un raspberry ca fonctionnera sans problème sur un synology, le seul problème c'est qu'il y a ouvent déja quelque chose sur le port 80 et/ou 443... @lazer, haha, le serveur ESX à la maison , un bon truc de geek, mais ca aide pas à baisser la facture edf ca et c'est pas écolo moi j'ai opté pour une dedibox, avec esx dessus,comme ca j'ai mon propre cloud sécurisé, et en cas de cambriolage complet, j'aurais quand meme mes fichiers donc je paie pas edf, mais l'abonnement (oui, ca revient au même, mais je culpabilise moins parceque je ne le vois pas tourner 24/24 ) Pour la sécurité, je suis presque d'accord, on ne met jamais trop de sécurité, mais on l'explique souvent très mal voir pas du tout et on ne l'adapte pas... Mais avec ce que je vois régulièrement, le risque est réel et chiffré, et les pertes, bien qu'invisible, sont colossale... Un brevet qui s'échappe, une base client... A un ancien poste, j'ai vu un collègue partir avec la base active directory sur un disque, en me disant que c'était pour son lab perso ;-) Et quand j'ai vu notre responsable de l'époque qui ne bronchait pas... même après explication, j'étais dépité... ,mais j'ai changé tous mes mots de passe :) Un exemple: si tu dis à un utilisateur que sont mot de passe doit être complexe et faire au moins 12 charactère complexe, il te prend pour un fou... Et fini souvent par "Prénomdemafemme01" ,puis 02 le mois d'après etc... Alors que le mot de passe suivant: "Ilest01heuresdum@tin!" est beaucoup plus complexe et pourtant très facile à retenir, et même à incrémenter chaque mois... Question d'information, mais on privilégie souvent la technique à l'humain.... grave erreur... Le pire en entreprise, c'est le cul alors ca, quand les histoires de fesses s'en mêle, tu as les plus beau scénario ;-) et les tous les firewall et password volent en éclat ;-) surtout ceux des boites mails :-) Le coup de teamviewer, c'est un classique, ca arrive aussi ou je suis surement, mais en cas de détection, l'informaticien ne le sera plus... Dans le genre, j'ai bossé peu de temps pour une société de radar militaire, il y a de ca 10 déja, chaque prisé réseau dans l'entreprise était alloué à une mac adresse et une seule... et ils utilisaient déja ipsec en interne... j'ose même pas imaginer ou ils en sont aujourd'hui... mais ca n'empèchera jamais les fuites... par contre les déménagements étaient sacrément chiant :-) en espérant vous proposez un pitit tuto d'ici 15 jours... :-)
Lazer Posté(e) le 1 mai 2014 Signaler Posté(e) le 1 mai 2014 De mon coté je suis en train de bosser sur le tuto avec haproxy sur Synology... faut que je finisse, je me disperse trop. A la base, je voulais un Synology, mais quand j'ai découvert le HP Proliant MicroServer avec Xpenology, j'ai trouvé ça pas mal. Quand j'ai vu qu'on pouvait mettre en plus ESXi et utiliser le serveur pour plein d'autres utilisation, alors là c'est juste parfait. Coté conso électrique, c'est à peu près identique à un Syno (DS412+). La seule différence c'est que ESXi tu ne le mets pas en veille, et les disques durs non plus. Si j'avais la fibre avec un upload du 21ème siècle, j'arrêterais mon hébergement mutualisé chez OVH, et j'hébergerais tout chez moi en réplication entre ma maison et mon garage (bâtiment séparé), avec une sauvegarde au bureau, je me ferai plus chier avec mes rsync sur disques externes. Quelques anecdotes : - J'ai eu un client qui s'est fait pirater un week-end, le lundi il n'y avait plus rien sur les disques de toutes les baies NAS. On a passé la semaine à redescendre les sauvegardes depuis les bandes LTO. - J'ai travaillé dans une boite qui scannait les réseaux WiFi en permanence. La tronche des consultants qui oubliaient de désactiver le wifi de leur portable durant une simple réunion Réseau non connecté à Internet, et à coté de ça on faisait du Telnet et du FTP en local...
Shad Posté(e) le 2 mai 2014 Signaler Posté(e) le 2 mai 2014 Les disques, j'ai contourné le problème avec unraid qui gère le spinup/down, il démarre juste les disque nécessaire, et je les virtualisé sous xen. Pour le backup faut que je trouve une solution, car 21To de stockage c'est pas évident à gérer .
Lazer Posté(e) le 2 mai 2014 Signaler Posté(e) le 2 mai 2014 Un lecteur de bande c'est l'idéal àce niveau là. Mais perso les films je ne les sauvegarde pas (même pas de protection RAID). Sinon j'ai tenté de forcer le disque àse mettre en veille (avec hdparm), Xpenology n'a pas du tout apprécié et corrompu la partition !
Shad Posté(e) le 2 mai 2014 Signaler Posté(e) le 2 mai 2014 Et bien moi avec ma connexion de 2Mo, j'aime mieux trouver une solution, car je me revoie mal faire une bibliothèque. Bon à l'heure actuel mon backup est fais chez mes clients qui me prennent mes films (pas de loi ici ), mais bon c'est moyen d'arriver chez le client et dire je vous prends des films car mon disque à lâcher Xd. Perso c'est un des avantages de unRAID ce système.
Lazer Posté(e) le 17 mai 2014 Signaler Posté(e) le 17 mai 2014 J'ai enfin terminé mon tuto HAProxy ici : http://www.domotique-fibaro.fr/index.php/topic/1148-reverse-proxy-sur-nas-synology-avec-haproxy/ 1
uncleseb Posté(e) le 26 mai 2014 Signaler Posté(e) le 26 mai 2014 Bonsoir , je souhaiterais accéder au home center 2 depuis l'exterieur (pour envoyer des requêtes http depuis mon S4), j'ai ouvert le port 5001 en udp et tcp dans ma freebox (ip sources = toutes) mais cela ne fonctionne pas. Y 'a t'il autre chose que j'aurais pu oublier ? Merci d'avance de vos aides
Moicphil Posté(e) le 26 mai 2014 Signaler Posté(e) le 26 mai 2014 Depuis l’extérieur, dans ton cas, il faut que tu saisisses sur freebox : Wan : 6001 Lan :80 Tu pourras donc y accéder en tapant ton adresse "externe" suivie de son port ( par ex : 88.156.324.88:6001 ) Et tu peux supprimer je pense la redirection Udp // Pour info, c'était déjà expliqué en 1ere page //
Messages recommandés