Forum Clubic

Proteger mon LAN d'accès WAN en limitant certaines adresses MAC uniquement ?

Salut tout le monde, je viens de mettre en place une redirection vers mon réseau à l’aide de DynDNS.org
J’ai installé sur un de mes PC le logiciel UltraVNC !
J’ai ouvert les ports nécessaire pour me permettre d’en prendre la main de l’extérieur.
J’ai testé à l’aide de mon téléphone sous Android en passant par le réseau 3G.
Tout ce passe bien, mais j’aimerai ajouter une couche de sécurité sur cette ouverture au monde extérieur…
J’ai pensé à un filtrage par adresse MAC des périphériques qui ont le droit de se connecter à VNC… mais je ne sais absolument pas si c’est possible via internet…
Sur mon réseau wifi, j’ai bien cette protection activée mais est il possible d’en faire autant à partir d’internet ?
Le but serait de rejeter toutes les connexions sauf celles autorisées.
J’ai pour cela un routeur (wrt54gl) sous DD-WRT v24-sp2 (10/10/09) vpn.
Mais j’ai beau chercher (je ne suis qu’administrateur de mon petit réseau local), je ne vois pas ou ni comment je pourrai verrouiller ça…
Évidemment j’ai pensé à ne pas ouvrir les ports 5800 et 5900 pour être un peu moins la cible des scanneurs de ports… mais n’y aurait-il pas un moyen un peu + sécuriser de s’ouvrir au net ?

Voici les infos que je peux déjà donner… le reste, il suffit de demander… j’ai peut être oublié un détail important… !

Smartphone Android (MAC connue) — 3G — internet — ADSL — BBOX — WRT54GL (DD-WRT) — PC VNC (XP SP3).

D’avance merci à tout ceux qui ont pris le temps de lire mon roman… et aussi à tout ceux qui m’aideront à améliorer la sécurité de mon réseau.

PS: si la sécurité ne vient pas d’un filtrage MAC mais d’ailleurs, ça m’intéresse aussi !

Bonjour,

Non et non!

Une adresse MAC permet la communication entre deux machines DIRECTEMENT connectées.

Une machine ne voit pas une adresse mac d’une autre machine sur un autre réseau IP ou VLAN. C’est à dire que deux machines séparées par un routeur ou plus ne communiquent qu’avec leurs adresses IP, les adresses mac qu’elles utilisent sont celles de leurs passerelles par défaut respectives.

En gros, quand ton PC VNC envoi un paquet IP à ton smartphone, cela ce passe comme ça:

  - Pendant tout le trajet, l'adresse IP source est celle de ton PC VNC et celle de destination est celle de ton smartphone. Jusqu'ici normal, je ne t'apprends rien.

 - Les adresses MAC source et destination changent à chaque routeur traversé: Ton pc VNC met comme adresse MAC de destination celle du WRT54GL et comme adresse MAC source la sienne. Ensuite, le WRT54GL met comme adresse MAC source son adresse et comme adresse mac de destination l'adresse mac de la bbox. La bbox met comme adresse mac source la sienne et comme adresse mac de destination celle du routeur dans le dslam. Et ainsi de suite. Même chose dans le sens inverse.

Depuis internet, quelque soit le PC qui se connecte à ton PC VNC l’adresse mac source des paquets que reçoit ce dernier sera toujours celle de ton WRT54GL, jamais celle de ton smartphone, il ne la voit pas!

Bien sur, on pourrait être tenté de faire un liste blanche d’IP autorisées à se connecter. Cette techniquement faisable, mais pas terrible:
- Une IP, ça s’usurpe.
- Si ton smartphone 3G est en DHCP… ben voilà quoi :arf:

Tu veux dire que tu n’utilises pas les ports par défaut?

Sinon, pour éviter les scans de port, tu peux utiliser ce qu’on appelle le port knocking. En gros, avec cette technique, un port n’est pas toujours ouvert, mais que quand tu envois une certaine séquence de paquets, par exemple sur d’autres ports prédéfinis (même fermés) dans un certain ordre. Ensuite tu dois te connecter dans les ~trois minutes sinon le port se referme.
Ça permet de faire que les ports ne soit ouverts que lorsque tu en as besoin. Cette technique n’est pas parfaite et n’est pas suffisante seul pour une bonne sécurité, mais ça peut être un petit plus. J’ai jamais utilisé cette technique mais j’ai entendu dire que la séquence passait en clair, donc si tu te connectes via un hotspot mal sécurisé et que quelqu’un sniff ta connexion (arp spoofing etc…), il peut connaitre la séquence…

Si ça t’intéresses, jettes un œil ici: www.dd-wrt.com…

Pour ce qui est de la sécurité de Ultra VNC: je n’ai jamais utilisé ce logiciel(je préfère de loin ssh) mais en faisant un tour dans la FAQ du site je suis tombé sur ça:

Pas terrible! :paf:
J’en vois un qui va avoir une grosse amende par la Hadopi pour négligence caractérisée et défaut de sécurisation!! :paf:

J’imagine que les mots de passe sont quand même chiffrés (enfin j’espère :ane: ) mais je ne crois pas qu’il y ait authentification du serveur vers le client par défaut!

Gardes bien à l’esprit que le chiffrement tout seul sans authentification ne sert presque à rien!! Car si l’attaquant est sur le même LAN que toi, il suffit d’une attaque de type man-in-the-middle pour pirater ton accès. (c’est à dire qu’il se fait passer pour le serveur vnc auprès de toi!).

Bref trois solutions:

-Soit installer un plugin vnc pour le chiffrement. home.comcast.net…
(Je ne connais pas la qualité de l’implémentation). Ce plugin semble supporter l’authentification coté serveur car en bas je vois qu’openSSL serait inclus.

  • Soit passer par un tunnel ssh. Tu interdis les connections de l’extérieur vers VNC mais tu les autorises vers SSH, qui lui est très robuste. Ensuite avec un tunnel, tu te connectes avec VNC via le tunnel ssh. Même si VNC n’est pas sécurisé, ssh lui l’est, donc en encapsulant vnc dans ssh, ça devrait être bon.

  • Soit passer par un tunnel VPN.
    Edité le 28/05/2011 à 18:33

Salut et merci pour ta réponse très complète !

Pour ce qui est du filtrage MAC, je m’en doutait déjà… dommage… ce n’était pas la bonne idée…

Le cryptage SSH, le VPN et le module DSM, je n’ai pas vraiment étudié…

Pour cela il va falloir que je trouve le moyen de configurer tous ces paramètres autant sur mon PC VNC (pas trop grave, il aura suffisamment de puissance dispo quand je voudrai m’y connecter de l’extérieur…) mais aussi sur mon petit smartphone… c’est un HTC Wildfire et lui rame déjà suffisamment comme ça… du coup j’espérai pouvoir lui éviter une séance de cryptage supplémentaire…

Pour le port knocking, je vais regarder ça, je n’avais jamais entendu parlé de cette technique et je ne sais pas encore s’il existe une application sur le smartphone qui permettrai de réveiller le port VNC… mais c’est intéressant…

Pour le port VNC, je pensai utiliser un port au hasard au niveau de ma box que je redirigerai vers le port VNC du PC… simplement pour attaquer de l’extérieur un port nommé 8560 (exemple) plutôt que 5900… en cas de scan des ports de mon adresse ip, ça passera + inaperçue…

Encore merci pour tes réponses, je vais étudier un peu tout ce qu’il est possible de faire entre mon smartphone et mon PC…

Bon weekend !

Voila, après un petit moment à chercher, j’ai trouvé une solution qui me semble correcte…
J’ai aimé l’idée du “port knocking” mais finalement j’ai trouvé une application compatible avec mes PC (XP et 7) ainsi que mon téléphone (android 2.2.1). Il s’agit de NeoRouter http://www.neorouter.com/index.html
Je ne connais pas la fiabilité de ce système… j’espère ne pas avoir fait un mauvais choix… mais en croyant le site de présentation, il crée un VPN crypté en AES256 ce qui devrait suffire à protéger mes connexions (principalement VNC).
Merci à ceux qui ont pris le temps de lire mes posts…