[Linux-bruxelles] Linksys By Cisco WAG320N et port ssh

Didier MISSON didier.misson at total.com
Mer 19 Mai 15:51:24 CEST 2010


Personnellement, je n'ai JAMAIS "mis" de PC dans une DMZ,  DMZ dans le sens que l'utilise les petits modems routeurs...

Car pour moi, ça revient à dire : 
ce PC 192.168.1.33 (par ex), tu lui envoies la TOTALITÉ du trafic entrant, sur tous les ports...

Donc ce Pc est vachement exposé aux attaques !

De plus, ce n'est pour moi, pas vraiment une DMZ, car ce serveur 192.168.1.33 restera dans le même range IP que les autres PC 192.168.1.0/24 ... donc il n'est PAS isolé des autres PC, ce n'est pas une vraie DMZ isolée...


L'idéal est de n'autoriser que le trafic sur les ports qui t'intéressent (ssh... peut-être http)
Et normalement, tous les modems-routeurs ADSL permettent cela (y compris les Belkin :p )



-----Original Message-----
From: linux-bruxelles-bounces at lists.bxlug.be [mailto:linux-bruxelles-bounces at lists.bxlug.be] On Behalf Of Aldo
Sent: mercredi 19 mai 2010 9:29
To: Mailing-list du BxLUG
Subject: Re: [Linux-bruxelles] Linksys By Cisco WAG320N et port ssh

On Tue, May 18, 2010 at 05:08:52PM +0200, Gildas Cotomale wrote:
> >> Le fait de mettre un pc en DMZ te permet de l'isoler du reste de ton
> >> réseau en ne lui permettant pas d'avoir un accès direct aux machines
> >> de ton réseau privé (de la même façon que les machines de ton réseau
> >> privé ne peuvent avoir un accès direct au pc en DMZ).
> >
> > Ah bon ? j'ai compris tout le contraire car dmz signifie bien demilitarized
> > zone, donc pas du tout armée ? ou es-ce un filtre sur les bons routeurs avec
> > lequel on peut remettre de la sécu après l'avoir exposé ?
> 
> Il faut rappeler qu'à la base, InterNet(works) est une interconnexion
> de réseaux (pouvant être réduit à une machine certes). En général, on
> est dans un réseau (local donc) qui est relié à la toile (Internet
> donc)... Par conséquence, les machines du réseau local ont accès à
> Internet grâce à un ou plusieurs ponts (passerelles donc) que fait
> leur réseau avec la toile. Dans un contexte de sécurité, l'extérieur
> est méchant (il est en effet avéré qu'on ne peut pas faire confiance à
> l'inconnu) ; ce qui implique normalement de s'en prémunir en
> établissant une muraille (un parefeu donc)... Une fois le château fort
> protégé par l'énorme fosse aux crocodile, seul le pont levis permet
> l'accès à la cité ; et cela n'empêche pas les gardes qui font le
> contrôle :) Cela empêche t-il vraiment la prise du château (aussi fort
> soit-il) en l'assiégeant et le catapultant ? :S La solution est
> d'avoir une zone de sécurité bien plus grande et conçue de telle façon
> à tromper et dérouter les attaquants... (prenez par exemple la
> muraille de Chine : une fois que les ennemis en arriveront au bout,
> ils seront encore loin d'avoir pris Pékin !) mais on s'éloigne de nos
> considérations. Dans les réseaux informatiques, les choses sont plus
> simples : l'extérieur n'est pas en contact direct avec le réseau local
> : l'extérieur croit traiter avec le réseau local (et vice-versa) mais
> en réalité il y a un réseau tampon qui est appelé DMZ à cause de son
> analogie avec une douane.
> 
> > Idem sous Belkin ils parlaient de "exposed pc" donc ça incarne bien l'idée
> > de dmz si la terminologie est correcte ?!
> >
> 
> En pratique, pour les particuliers (dans un contexte ADSL ou
> similaire), le réseau local est créé par le box qui fait office de
> passerelle (même si techniquement on ne peut pas dire cela) et de
> routeur interne (en plus d'être serveur d'adresse IPs locales...) Si
> le box a une fonction de parefeu, il devient donc un DMZ de façon
> transparente ;)
> 
> >> Cela nécessite la mise en place d'un, voire 2 firewalls.
> > Ah ok. ça signifie que tu l'exposes d'abord dans la dmz et définis par un
> > bon firewall ce qui est et n'est pas accessible ?
> >
> Dans la configuration exacte, le parefeu interne (côté réseau local)
> ne laisse entrer (dans le réseau local) que les demandes vers des
> services autorisés et vers la bonne machine (c'est pour cela que je
> parlais de zone tampon), tandis qu'il peut tout laisser sortir (en
> général, il y a des ports autorisés). Les machines (en fait les
> services/services) ainsi en accès sont dit exposés (car c'est comme
> s'ils sont vraiment dans la zone, qui est le réseau que l'extérieur
> voit, tandis que les autres machines sont masquées).
> Idéalement, il faudrait qu'un second parefeu externe (côté Internet)
> qui ne laisse entrer que les demandes vers des machines situées dans
> la zone (pour une raison ou une autre, certaines machines peuvent être
> entre les deux parefeu et donc être plus exposées) ou le parefeu
> interne (les requêtes des utilisateurs du réseau local et les réponses
> à ces requêtes sont donc tunnellées.. et par conséquent semblent
> transiter désarmées dans un couloir sur..)

Donc c'est logique que j'aies dû mettre mon ordi pour lequel j'ai ouvert le
port ssh dans la dmz,
ça ne signifie pas qu'il soit en danger,
il est juste plus accessible, es-ce correct ?
Autre chose, je peux le tester en retirant l'ordi IP mmm.nnn.o.ppp de la
dmz, et voir si deux secondes plus tard je sais encore me loguer dans mon
ordi depuis l'extérieur.
Sinon j'ai configuré aucun firewall,
juste Applications & Gaming comme l'a suggéré Giovanni, et mis l'IP de mon
ordi dans la dmz.

Notez aussi que le manuel de Linksys on peut autant le jeter à la poubelle,
il n'a aucune valeur, aucun contenu, n'est d'aucune aide;
le mot ssh ou usb n'y apparaissent aucune fois;
heureusement qu'il y avait cette mliste pour montrer le chemin :-)

Gildas, bravo pour cette MAGNIFIQUE explication digne d'une fiche EDU ou
Article parmi les autres articles en ligne: les analogies sont très
parlantes.
Je reste neanmoins avec un doute, celui de savoir si j'ai compris.

Aldo. 


-- 
Linux-bruxelles mailing list
Linux-bruxelles at lists.bxlug.be
http://lists.bxlug.be/mailman/listinfo/linux-bruxelles




Plus d'informations sur la liste de diffusion Linux-bruxelles