[Linux-bruxelles] Linksys By Cisco WAG320N et port ssh
Manuel Schulte
manuel.schulte at gmail.com
Mer 19 Mai 19:08:49 CEST 2010
Les routeurs "bon marché" style B-Box ou B-Box 2 ont 2 interfaces
(eth0 et eth1 pour parler en termes linuxiens), l'une pour le côté WAN
(Internet) et l'autre pour le côté LAN.
Utiliser la "fonction" DMZ sur ce genre d'appareil, cela revient à
exposer DANGEREUSEMENT l'une des machines du côté LAN!!!
Si cette machine est compromise suite à son exposition en DMZ, c'est
tout le LAN qui est comprommis!
Pour monter une VRAIE DMZ, il faut au minimum un
routeur/modem/firewall à 3 interfaces, 1 pour le WAN, 1 pour le LAN et
1 pour la DMZ!!! (eth0, eth1 et eth2).
Tout ce qui entre par le WAN est envoyé sur la DMZ, sans restrictions
(autres que les mécanismes mis en place au niveau de(s) machine(s) en
DMZ.
Par contre, n'entre sur le LAN depuis WAN que ce qui aura été
configuré dans le firewall. Dans un monde idéal, par défaut RIEN du
tout! (on sait qu'avec les B-Box c'est loin d'être le cas, mais elles
n'ont pas le monopole dans le domaine).
A++
Manu
2010/5/19 Didier MISSON <didier.misson at total.com>:
> Bonjour,
>
> Mon avis :
>
> - jamais besoin de DMZ dans le cas des petits modems-routeurs, car on n'a jamais besoin d'exposer TOUS les ports et tous les services de son serveur !
> Aldo, tout exposer, ça veut dire tous les ports.
> Ça veut dire que tout le trafic entrant va directement sur ce PC en "DMZ"...
> Ça veut dire que TOUTES les attaques et scannings arrivent directement sur TON serveur en "DMZ" qui prend tout dans la g...le !
>
> - pour moi, le port forwarding est la bonne solution : tu forwards seulement 1 ou 2 ports (le ssh et le http par exemple) et le reste est bloqué par le firewall (déjà ça que ton serveur ne recevra pas en pleine face)
>
> - ce serait différent avec un vrai firewall hardware avec des interfaces séparées !
> Dans ce cas, tu pourrais avoir une interface Ethernet DMZ dans un range IP différent et totalement isolé du range IP de ton LAN... et le LAN sur une autre interface.
> Mais c'est très rarement comme cela sur un modem-routeur low-cost : tu as 4 interfaces, mais c'est juste un HUB : tout ce qui arrive sur une interface est aussi vue sur les 3 autres. Elles ne sont pas isolées...
>
> Je peux me tromper, je ne connais pas tous les modèles de modems-routeurs...
> Mais de toute façon, pas la peine d'ouvrir les vannes en grand ! Si tu as uniquement besoin de SSH, tu fais "port forward" que de SSH !
>
> ;-)
>
> Didier
>
>
>
>
> -----Original Message-----
> From: linux-bruxelles-bounces at lists.bxlug.be [mailto:linux-bruxelles-bounces at lists.bxlug.be] On Behalf Of Gildas Cotomale
> Sent: mercredi 19 mai 2010 18:04
> To: Mailing-list du BxLUG
> Subject: Re: [Linux-bruxelles] Linksys By Cisco WAG320N et port ssh
>
>> Donc c'est logique que j'aies dû mettre mon ordi pour lequel j'ai ouvert le
>> port ssh dans la dmz,
>> ça ne signifie pas qu'il soit en danger,
>> il est juste plus accessible, es-ce correct ?
>
> Euh... non ; dans le DMZ il est justement "exposé" ; il n'est plus
> caché derrière/dans le réseau local...
> Le DMZ est justement la sécurité des machines du réseau et exposer un
> serveur n'est utile que si d'une part il fournit un service critique
> et qu'il vaut mieux ne pas faire autrement (genre un DNS extérieur,
> comme un registrar ou un FAI) et que d'autre part il n'a pas de
> données critiques (chose qui n'est jamais aussi évidente car même la
> collecte de données insignifiantes peut être une aide précieuse pour
> un attaquant ou une manne pour tout collecteur de données qui les
> recoupera).
> Dans l'usage que tu veux en faire, si je comprends bien, un simple
> port-fowarding suffit amplement ; pas besoin de te compliquer
> l'existence et encore moins de mettre ta machine à découvert pour
> pouvoir y accéder pas SSH.
> Mais si tu tiens vraiment à l'autre solution, il faut que ce soit
> seulement ça (oui, l'un ou l'autre) sinon tu vas avoir droit à un
> casse-tête donc le bénéfice en terme de sécurité ne sera pas démontrer
> (mais la qualité du service risque par contre d'en pâtir..)
>
> --
> Gildas plus/moins pragmatique/théorique
>
> --
> Linux-bruxelles mailing list
> Linux-bruxelles at lists.bxlug.be
> http://lists.bxlug.be/mailman/listinfo/linux-bruxelles
>
> --
> Linux-bruxelles mailing list
> Linux-bruxelles at lists.bxlug.be
> http://lists.bxlug.be/mailman/listinfo/linux-bruxelles
>
Plus d'informations sur la liste de diffusion Linux-bruxelles