Bonjour,
Non et non!
Une adresse MAC permet la communication entre deux machines DIRECTEMENT connectées.
Une machine ne voit pas une adresse mac d’une autre machine sur un autre réseau IP ou VLAN. C’est à dire que deux machines séparées par un routeur ou plus ne communiquent qu’avec leurs adresses IP, les adresses mac qu’elles utilisent sont celles de leurs passerelles par défaut respectives.
En gros, quand ton PC VNC envoi un paquet IP à ton smartphone, cela ce passe comme ça:
- Pendant tout le trajet, l'adresse IP source est celle de ton PC VNC et celle de destination est celle de ton smartphone. Jusqu'ici normal, je ne t'apprends rien.
- Les adresses MAC source et destination changent à chaque routeur traversé: Ton pc VNC met comme adresse MAC de destination celle du WRT54GL et comme adresse MAC source la sienne. Ensuite, le WRT54GL met comme adresse MAC source son adresse et comme adresse mac de destination l'adresse mac de la bbox. La bbox met comme adresse mac source la sienne et comme adresse mac de destination celle du routeur dans le dslam. Et ainsi de suite. Même chose dans le sens inverse.
Depuis internet, quelque soit le PC qui se connecte à ton PC VNC l’adresse mac source des paquets que reçoit ce dernier sera toujours celle de ton WRT54GL, jamais celle de ton smartphone, il ne la voit pas!
Bien sur, on pourrait être tenté de faire un liste blanche d’IP autorisées à se connecter. Cette techniquement faisable, mais pas terrible:
- Une IP, ça s’usurpe.
- Si ton smartphone 3G est en DHCP… ben voilà quoi :arf:
Tu veux dire que tu n’utilises pas les ports par défaut?
Sinon, pour éviter les scans de port, tu peux utiliser ce qu’on appelle le port knocking. En gros, avec cette technique, un port n’est pas toujours ouvert, mais que quand tu envois une certaine séquence de paquets, par exemple sur d’autres ports prédéfinis (même fermés) dans un certain ordre. Ensuite tu dois te connecter dans les ~trois minutes sinon le port se referme.
Ça permet de faire que les ports ne soit ouverts que lorsque tu en as besoin. Cette technique n’est pas parfaite et n’est pas suffisante seul pour une bonne sécurité, mais ça peut être un petit plus. J’ai jamais utilisé cette technique mais j’ai entendu dire que la séquence passait en clair, donc si tu te connectes via un hotspot mal sécurisé et que quelqu’un sniff ta connexion (arp spoofing etc…), il peut connaitre la séquence…
Si ça tintéresses, jettes un il ici: www.dd-wrt.com…
Pour ce qui est de la sécurité de Ultra VNC: je n’ai jamais utilisé ce logiciel(je préfère de loin ssh) mais en faisant un tour dans la FAQ du site je suis tombé sur ça:
Pas terrible! :paf:
J’en vois un qui va avoir une grosse amende par la Hadopi pour négligence caractérisée et défaut de sécurisation!! :paf:
J’imagine que les mots de passe sont quand même chiffrés (enfin j’espère :ane: ) mais je ne crois pas qu’il y ait authentification du serveur vers le client par défaut!
Gardes bien à l’esprit que le chiffrement tout seul sans authentification ne sert presque à rien!! Car si l’attaquant est sur le même LAN que toi, il suffit d’une attaque de type man-in-the-middle pour pirater ton accès. (c’est à dire qu’il se fait passer pour le serveur vnc auprès de toi!).
Bref trois solutions:
-Soit installer un plugin vnc pour le chiffrement. home.comcast.net…
(Je ne connais pas la qualité de l’implémentation). Ce plugin semble supporter l’authentification coté serveur car en bas je vois qu’openSSL serait inclus.
-
Soit passer par un tunnel ssh. Tu interdis les connections de l’extérieur vers VNC mais tu les autorises vers SSH, qui lui est très robuste. Ensuite avec un tunnel, tu te connectes avec VNC via le tunnel ssh. Même si VNC n’est pas sécurisé, ssh lui l’est, donc en encapsulant vnc dans ssh, ça devrait être bon.
-
Soit passer par un tunnel VPN.
Edité le 28/05/2011 à 18:33