[Linux-bruxelles] Linksys By Cisco WAG320N et port ssh

Didier Misson didier.linux at gmail.com
Mer 19 Mai 20:48:56 CEST 2010 

Le 19/05/10 19:08, Manuel Schulte a écrit :
> Les routeurs "bon marché" style B-Box ou B-Box 2 ont 2 interfaces
> (eth0 et eth1 pour parler en termes linuxiens), l'une pour le côté WAN
> (Internet) et l'autre pour le côté LAN.

mais pas réellement les B-box et B-box2, car l'interface Wan est en fait
connectée en interne sur la partie modem ADSL/VDSL

> Utiliser la "fonction" DMZ sur ce genre d'appareil, cela revient à
> exposer DANGEREUSEMENT l'une des machines du côté LAN!!!

100% de ton avis !!!

> Si cette machine est compromise suite à son exposition en DMZ, c'est
> tout le LAN qui est comprommis!

Exact. C'est le même range IP et aucun filtre, aucun firewall entre
cette machine exposée "DMZ" et les autres.


> Pour monter une VRAIE DMZ, il faut au minimum un
> routeur/modem/firewall à 3 interfaces, 1 pour le WAN, 1 pour le LAN et
> 1 pour la DMZ!!! (eth0, eth1 et eth2).

oui, ou au minimum 1 interface vers le modem et 2 Ethernet

Je pense que c'est ce qu'il y a dans la B-Box et B-Box2, car les sorties
1 et 2 sont LAN, les 3 et 4 sont TV
ça doit être un Vlan séparé, mais je n'ai aucune précision à ce sujet !

J'avais fait ce mécanisme avec un PC de récup, 2 Ethernet et un modem
Alcatel Speed Touch USB.

- Le modem était donc en USB.
- eth0 pour le LAN
- eth1 pour le serveur en DMZ
et dans ce cas, les ranges IP eth0 et eth1 étaient différents
et surtout, les règles dans le firewall IPCop interdisaient (presque)
toute communication entre serveur <--> Lan


> Tout ce qui entre par le WAN est envoyé sur la DMZ, sans restrictions
> (autres que les mécanismes mis en place au niveau de(s) machine(s) en
> DMZ.

Exact = dangereux = exposition totale de la machine.


> Par contre, n'entre sur le LAN depuis WAN que ce qui aura été
> configuré dans le firewall. Dans un monde idéal, par défaut RIEN du
> tout! (on sait qu'avec les B-Box c'est loin d'être le cas, mais elles
> n'ont pas le monopole dans le domaine).

Oui, déjà qu'on les livre et que les techniciens Belgacom les installent
chez des braves clients qui leurs font confiances, SANS aucune
protection WiFi !

http://didier.misson.net/blog/2010/02/14/belgacom-persiste-et-signe-nous-sommes-100-open-fail/

----------------

En résumé Aldo, 1 ou 2 port forwarding devraient suffire (ssh vers l' IP
de ton serveur)

ça doit en théorie fonctionner sur pratiquement tous les modems-routeurs
ou routeurs simples.

;-)

Bonne soirée,

Didier



> A++
> Manu
> 
> 2010/5/19 Didier MISSON <didier.misson at total.com>:
>> Bonjour,
>>
>> Mon avis :
>>
>> - jamais besoin de DMZ dans le cas des petits modems-routeurs, car on n'a jamais besoin d'exposer TOUS les ports et tous les services de son serveur !
>> Aldo, tout exposer, ça veut dire tous les ports.
>> Ça veut dire que tout le trafic entrant va directement sur ce PC en "DMZ"...
>> Ça veut dire que TOUTES les attaques et scannings arrivent directement sur TON serveur en "DMZ" qui prend tout dans la g...le !
>>
>> - pour moi, le port forwarding est la bonne solution : tu forwards seulement 1 ou 2 ports (le ssh et le http par exemple) et le reste est bloqué par le firewall (déjà ça que ton serveur ne recevra pas en pleine face)
>>
>> - ce serait différent avec un vrai firewall hardware avec des interfaces séparées !
>> Dans ce cas, tu pourrais avoir une interface Ethernet DMZ dans un range IP différent et totalement isolé du range IP de ton LAN...  et le LAN sur une autre interface.
>> Mais c'est très rarement comme cela sur un modem-routeur low-cost : tu as 4 interfaces, mais c'est juste un HUB : tout ce qui arrive sur une interface est aussi vue sur les 3 autres. Elles ne sont pas isolées...
>>
>> Je peux me tromper, je ne connais pas tous les modèles de modems-routeurs...
>> Mais de toute façon, pas la peine d'ouvrir les vannes en grand ! Si tu as uniquement besoin de SSH, tu fais "port forward" que de SSH !
>>
>> ;-)
>>
>> Didier
>>
>>
>>
>>
>> -----Original Message-----
>> From: linux-bruxelles-bounces at lists.bxlug.be [mailto:linux-bruxelles-bounces at lists.bxlug.be] On Behalf Of Gildas Cotomale
>> Sent: mercredi 19 mai 2010 18:04
>> To: Mailing-list du BxLUG
>> Subject: Re: [Linux-bruxelles] Linksys By Cisco WAG320N et port ssh
>>
>>> Donc c'est logique que j'aies dû mettre mon ordi pour lequel j'ai ouvert le
>>> port ssh dans la dmz,
>>> ça ne signifie pas qu'il soit en danger,
>>> il est juste plus accessible, es-ce correct ?
>>
>> Euh... non ; dans le DMZ il est justement "exposé" ; il n'est plus
>> caché derrière/dans le réseau local...
>> Le DMZ est justement la sécurité des machines du réseau et exposer un
>> serveur n'est utile que si d'une part il fournit un service critique
>> et qu'il vaut mieux ne pas faire autrement (genre un DNS extérieur,
>> comme un registrar ou un FAI) et que d'autre part il n'a pas de
>> données critiques (chose qui n'est jamais aussi évidente car même la
>> collecte de données insignifiantes peut être une aide précieuse pour
>> un attaquant ou une manne pour tout collecteur de données qui les
>> recoupera).
>> Dans l'usage que tu veux en faire, si je comprends bien, un simple
>> port-fowarding suffit amplement ; pas besoin de te compliquer
>> l'existence et encore moins de mettre ta machine à découvert pour
>> pouvoir y accéder pas SSH.
>> Mais si tu tiens vraiment à l'autre solution, il faut que ce soit
>> seulement ça (oui, l'un ou l'autre) sinon tu vas avoir droit à un
>> casse-tête donc le bénéfice en terme de sécurité ne sera pas démontrer
>> (mais la qualité du service risque par contre d'en pâtir..)
>>
>> --
>> Gildas plus/moins pragmatique/théorique
>>
>> --
>> Linux-bruxelles mailing list
>> Linux-bruxelles at lists.bxlug.be
>> http://lists.bxlug.be/mailman/listinfo/linux-bruxelles
>>
>> --
>> Linux-bruxelles mailing list
>> Linux-bruxelles at lists.bxlug.be
>> http://lists.bxlug.be/mailman/listinfo/linux-bruxelles
>>
> 


-- 
Didier

http://misson.tel  Annuaire Misson
http://drupal.tel  Annuaire Drupal

http://www.les-objets-de-maman.be : objets, meubles et tableau à vendre
http://gallery.les-objets-de-maman.be : les photos des objets

Plus d'informations sur la liste de diffusion Linux-bruxelles