sécurité d'un petit serveur SSH domestique

[kaky951357]

Bonsoir tout le monde,
j'ai une raspberry pi et je veux l'utiliser a travers internet : utiliser PUTTY pour utiliser ma raspberry hors de mon réseaux local
je me suis informé un peux sur le sujet et vu que je m'y connais pas en réseaux je viens a vous pour m'aider un peux
j'ai vu qu'il était indispensable d'ouvrir les ports de ma box et que sa ferai des "trous" dans la sécurité de mon réseaux domestique cependant il y'avais un moyens pour sécuriser : ce connecter au raspberry via une clef de cryptage
j'ai vu sa sur un tuto de comment l'installer : https://dvpizone.wordpress.com/2014/...ssh-key-pairs/
mes question sont :
1/quel sont les dangers que je cours en ouvrant mes ports ?
2/es-que la technique qu'explique le tuto est suffisant pour protéger mon réseaux?
3/il y'a des paramètres que je doit entrer pour ouvrir un port comment bien les configurer pour mon application?
4/je vais utilisé puttygen pour générer les clefs sur 2048 byte que je vais utiliser es-que c'est fiable ou c'est seulement de la poudre au yeux ?
excusez ma terminologie blizzard je suis un NOOB en réseaux
merci beaucoup pour les âmes charitable qui voudront bien m'aider
-----

[quentin08]

Salut,

1/quel sont les dangers que je cours en ouvrant mes ports ?
2/es-que la technique qu'explique le tuto est suffisant pour protéger mon réseaux?
3/il y'a des paramètres que je doit entrer pour ouvrir un port comment bien les configurer pour mon application?
4/je vais utilisé puttygen pour générer les clefs sur 2048 byte que je vais utiliser es-que c'est fiable ou c'est seulement de la poudre au yeux ?
excusez ma terminologie blizzard je suis un NOOB en réseaux
merci beaucoup pour les âmes charitable qui voudront bien m'aider

1/On utilise le terme "ouvrir un port dans la box" mais c'est un abus de langage. C'est plus du NAT entrant (ou DNAT).
C'est à dire qu'on va ajouter une règle dans la box pour que lorsqu'elle voit arriver du trafic en particulier (protocole et port de destination), elle va le rediriger vers une IP sur le LAN et sur un port choisi. Donc, quand on dit "ouvrir un port dans la box", elle modifie l'adresse de destination et le port de destination de ce trafic. (Le D de DNAT pour destination).
C'est juste pour ta culture personnelle vu que tu dis être "un NOOB en réseaux"
Donc, le danger c'est que ton raspberry pourra être "vu" par tout le monde sur Internet.
J'ai juste dit "vu", c'est à dire que si quelqu'un essaye d'y accéder en SSH, le raspberry va répondre et lui demander de se loguer.

2/Le tuto que tu donnes parle d'authentification par échange de clé RSA. C'est une bonne méthode mais fait attention, si tu fais ça, ce qui va te servir à te loguer est un simple fichier texte (une clé) stockée sur le client. Quelqu'un qui accède à ce fichier peut donc le loguer sur le raspberry.
Il y a aussi la méthode authentification par clé + mot de passe, c'est peut être ce que tu veux faire
Mais dans ton cas, je pense que l'authentification par mot de passe uniquement est suffisante. A savoir qu'il y a déjà un échange de clé pour chiffrer la session, donc, la méthode par mot de passe est toute aussi sécurisée.

3/Oui, il y a des paramètres à entrer dans la box pour que ça fonctionne. Il faut que tu trouve dans ses menus la partie "port forwarding", "redirection de port", ou "NAT" c'est souvent comme ça dans les box.
Et tu peut entrer une règle du genre :

Protocole TCP port 10022 vers <ton IP privée du raspberry> sur le port 22 (le 22 est le port par défaut du SSH)

Ainsi, de l'extérieur, tu y accédera avec ton adresse PUBLIQUE(de ton FAI) sur le port 10022
Il faut bien sûr que le service SSH du raspberry écoute le port 22.
Rien n’empêche de le faire écouter un autre port, mais il faudra modifier la règle de forward donnée juste avant.
Pour le port entrant 10022, c'est juste un exemple, tu peut mettre ce que tu veux

4/Pour une authentification par clé, 2048 bits, c'est très bien.
Pour ce que tu veux faire, tu va devoir générer une clé par client avec cette méthode. Avec un mot de passe, tu seras toujours très bien protégé avec le cryptage de la clé du serveur, et c'est plus facile à mette en place. Bien sûr, mettre un mot de passe fort.

N'hésites pas si tu as d'autres questions

A+

[kaky951357]

Bonsoir,
merci pour votre réponse
je suis allé sur ma box pour configurer les paramètres que vous m'avez recommandé mais :

Oui, il y a des paramètres à entrer dans la box pour que ça fonctionne. Il faut que tu trouve dans ses menus la partie "port forwarding", "redirection de port", ou "NAT" c'est souvent comme ça dans les box.

je ne trouve pas de port forwarding ou redirection de port ou NAP j'ai : "Créer un jeu ou une application" je sais pas d'ou viens le nom un peux bizard... et quand j'essaye de configurer les règles du NAT je ne trouve pas TCP tout court il y'a que Telnet http https TCP directX bittorrent ... es-que c'est possible de réaliser ce que je veux ou ma box ne permet pas ?
et quand ma raspberry pi qui sera en écoute du port sera éteinte es-que ça pourra problème de sécurité ?? comment se comportera ma box ?
merci encore pour votre réponse

[kaky951357]

et quand ma raspberry pi qui sera en écoute du port sera éteinte es-que ça posera problème de sécurité ?? comment se comportera ma box ?
pour la configuration du port il y'a aucun paramètre que je devrai configurer il y'a juste ou je sélectionne le nom de l'appareille que j'utiliserai, j'ai sélectionné raspberrypi comment je saurai le port d'extérieur ?
merci encore pour votre précieux aide

[A voir en vidéo sur Futura]

[pm42]

2/Le tuto que tu donnes parle d'authentification par échange de clé RSA. C'est une bonne méthode mais fait attention, si tu fais ça, ce qui va te servir à te loguer est un simple fichier texte (une clé) stockée sur le client. Quelqu'un qui accède à ce fichier peut donc le loguer sur le raspberry.

Oui mais ça, c'est pour une attaque ciblée : il faut que quelqu'un accède à son ordinateur pour récupérer le fichier. A ce moment, les dégats potentiels en terme de sécurité et de vie privé sont largement plus importants qu'un accès à son Raspberry.
Et comme tu le dis toi même, on peut protéger cette clé par un mot de passe.

. A savoir qu'il y a déjà un échange de clé pour chiffrer la session, donc, la méthode par mot de passe est toute aussi sécurisée.

Pas vraiment. Le méthode par mot de passe est vulnérable aux attaques par force brute, ingénierie sociale, etc. Sur mon serveur ssh, j'ai régulièrement des robots qui viennent essayer tous les mots de passe possibles ou au moins des dictionnaires.

Bien sur, un mot de passe complexe est une solution raisonnable, il permet aussi de se connecter depuis n'importe quelle machine sur Internet (ce qui crée une vulnérabilité si elle a un keylogger par ex) et est facile à mettre en oeuvre mais ce n'est pas la même chose qu'une clé publique.

[pm42]

Bonsoir,
merci pour votre réponse
je suis allé sur ma box pour configurer les paramètres que vous m'avez recommandé mais :

je ne trouve pas de port forwarding ou redirection de port ou NAP

Quelle est ta box ? Est ce qu'il n'y a pas un mode débutant et un mode avancé par ex ?

et quand ma raspberry pi qui sera en écoute du port sera éteinte es-que ça posera problème de sécurité ?? comment se comportera ma box ?

Non aucun problème. Ta box verra qu'il n'y a pas de réponse coté raspberry et ne transmettra rien.

pour la configuration du port il y'a aucun paramètre que je devrai configurer il y'a juste ou je sélectionne le nom de l'appareille que j'utiliserai, j'ai sélectionné raspberrypi comment je saurai
le port d'extérieur ?

Sur ta box, tu vas dire quelle port extérieur vu coté internet est transmis à quelle machine de ton réseau et sur quel port. Donc tu peux parfaitement faire
22 -> IP fixe de ton raspberry, port 22.

De cette façon, si tu fais un ssh sur ta box, tu arrives directement sur ton raspberry. C'est le plus simple.
Il faut aussi que tu saches comment accèder à ta box depuis Internet : donc IP fixe sur la box ? peu probable ou un service genre DynDns.

[kaky951357]

bonsoir tout le monde,
merci pour vos réponses
j'ai creusé sur ma box et j'ai enfin trouver comment configurer le port
ma box est une technicolor td5130
mais reste a bien configurer :
a quoi sert "Protocole de déclenchement":TCP ou UDP? et "Port de déclenchement" je sais saisir un port en sachant que je vais me connecter via des clefs RSA
pour l'ip fix je vais utiliser no-ip mais je sais pas comment svp aidez moi

[quentin08]

Salut tout le monde

Pas vraiment. Le méthode par mot de passe est vulnérable aux attaques par force brute, ingénierie sociale, etc. Sur mon serveur ssh, j'ai régulièrement des robots qui viennent essayer tous les mots de passe possibles ou au moins des dictionnaires.

Je parlais sécurité au niveau cryptage, au moment de taper son mot de passe, la session est déjà chiffrée. Après, selon le cas, il vaut mieux passer par échange de clé.
C'est vrai, ça me le faisait aussi sur mon serveur SSH, je voyais mon fichier auth.log en train de gonfler, et je pouvais suivre en direct ce que le robot faisait avec tail -f sur le fichier de log

a quoi sert "Protocole de déclenchement":TCP ou UDP? et "Port de déclenchement" je sais saisir un port en sachant que je vais me connecter via des clefs RSA
pour l'ip fix je vais utiliser no-ip mais je sais pas comment svp aidez moi

Protocole de déclenchement, ça doit être pour définir le protocole en entrée coté WAN (Internet), je pense
Pour SSH, c'est TCP
Port de déclenchement, même chose pour le port en entrée.
Pour SSH, c'est le 22 par défaut (rien n'empêche de le changer)

Tu as dit avoir un menu "Créer un jeu ou une application", ça me semble pas mal
Il faut entrer ces infos dans la box : Port TCP 22 vers l'IP locale du raspberry sur le port 22
Ensuite, essaye de te loguer depuis Internet (la connexion de quelqu'un d'autre : ton lycée/travail etc) sur ton raspberry par ton adresse publique sur le port 22. Assure-toi que ta box ne reboot pas entre temps et ne change d'adresse
Tu peut connaitre ton IP publique ici : http://www.monip.org/ ou directement sur ta box
Essaye déjà ça avant de passer à no-ip (chaque chose en son temps). Si le raspberry répond, c'est gagné.

Ensuite, pour no-ip, c'est un service qui associe un nom DNS à l'adresse de ta box, même si son IP change. Comme ça, ta box est toujours accessible par ce nom. Tu t'inscris sur no-ip et tu entre les infos de connexion à no-ip dans ta box (il doit y avoir un menu pour ça)

A+

[Beru35]

Bonsoir, je me permets de réagir à cette discussion pour apporter quelques précision.

L'authentification par clé c'est très bien, si tu protèges bien ta clé privée sur la machine cliente. C'est très sécurisé, avec du RSA 2048 tu ne risques rien.

Si tu veux éviter les ennuis, que quelqu'un entre sur ta bécane par ce biais, tu peux durcir un peu ton service SSH. Voici quelques idées :

1. Utiliser un port non standard, comme 24513, ce qui évitera que ton service SSH soit découvert. Ca va éliminer 95% des tentatives.
2. Interdire la connexion par le compte root (permitRootLogin à FALSE dans la configuration)
3. Désactiver la connexion par mot de passe. Utiliser des clés RSA, c'est bien, mais il faut veiller à empêcher les attaquants d'utiliser une authentification par mot de passe.
4. Utiliser un nom d'utilisateur inhabituel. Eviter les tom ou admin.
5. Il faut veiller à maintenir à jour les versions des packages installés sur la machine serveur, surtout le serveur SSH, Open SSL et tout le reste aussi, pour éviter une exploitation de vulnérabilité critique

SSH, c'est un protocole dédié à l'utilisation sécurisée de ta machine à distance, donc ça ne pose pas de problème de sécurité. C'est comme avoir une serrure sur une porte. Ca permet de l'ouvrir, mais ça reste un organe de sécurité.

Avec ces quelques conseils, tu ne risques rien.

[pm42]

Tout cela me semble d'excellents conseils, il y a 2 points sur lesquels j'ai un doute.

1. Utiliser un port non standard, comme 24513, ce qui évitera que ton service SSH soit découvert. Ca va éliminer 95% des tentatives.

Il y a quand même pas mal de scanners de ports qui vont trouver ton 24513 et ce genre d'approche qui relève de "la sécurité par l'obscurité" n'est pas systématiquement recommandé.
Cela peut également rendre plus compliqué l'accès depuis certains réseaux où le firewall va bloquer les ports non standard.

4. Utiliser un nom d'utilisateur inhabituel. Eviter les tom ou admin.

Si on est un clé publique, le gain me semble inexistant.

[Beru35]

TIl y a quand même pas mal de scanners de ports qui vont trouver ton 24513

En fingerprintant le service, tu vois rapidement qu'il s'agit d'un SSH, c'est certain. Mais les robots qui se baladent et bruteforcent les SSH ne s'embêtent pas avec ça, trop long, trop coûteux. Ils lancent des attaques à l'aveugle sur tout ce qui est exhibé sur du port 22. Par ailleurs, nmap fonctionnant par défaut avec une liste de ports limitée, contenue dans /etc/services, il ne va pas détecter la présence d'un port inhabituel. Je te garantis que ça va éviter 95% des attaques.

et ce genre d'approche qui relève de "la sécurité par l'obscurité" n'est pas systématiquement recommandé.

Il ne s'agit pas de baser la sécurisation là-dessus, mais de mettre ça en place en plus d'autres mesures. Il faut durcir le service et réduire son exposition.

Cela peut également rendre plus compliqué l'accès depuis certains réseaux où le firewall va bloquer les ports non standard.

C'est possible, effectivement. Dans ce cas il ne faut pas le faire, évidemment. Mais pas mal de firewall bloqueront aussi le port 22 en sortie.

Si on est un clé publique, le gain me semble inexistant.

Toujours la même remarque, le but du jeu est de minimiser les risques.