30 réponses à ce sujet

[Donovandu88]

Salut,

 

Je me tourne vers vous aujourd'hui pour vous posez quelques questions sur la manière la plus sécurisée pour vous connecter en dehors de chez vous à votre Raspberry, Caméra IP ou autres robots WEB.

 

Pour l'instant, pour moi c'est l'utilisation d'un serveur Domoticz (https://www.domoticz.com/) sur un Raspberry mais vos solutions peuvent surement fonctionner avec d'autre Serveurs.

 

Je connais déjà la solution de la redirection de port TCP avec l'utilisation d'un site comme No-ip pour avoir un nom d’hôte fixe mais d'après mes recherches, ce n'est pas la solution la plus sécurisée. 

Pour "sécuriser" ou plutôt rendre le travail des Bots informatiques plus compliqué, on peut éventuellement utiliser des ports moins connus que les habituels 8080, 443 etc...

Si le serveur sur le Raspberry dispose d'un login et mot de passe en plus, cette solution est quand même viable?

 

Il y a également la solution d'utiliser un serveur VPN mais il me semble qu'il faut toujours faire appel à un service tiers payant non?

 

[Serveurperso]

Les risques sont *quasi* inexistants... Grand adepte du serveur auto hébergé à la maison depuis les débuts d'internet et j'ai jamais eu le moindre problème.

 

Il suffit d'avoir une distrib Linux (préférablement strict minimale en mode console) tenue up to date (apt update / apt upgrade) et appliquer les bases de sécurité dont on trouve les tutos partout sur le net.

 

La base c'est d'avoir un password SSH correct ou mieux : n'accepter qu'une clé RSA privée

(/etc/ssh/sshd_config décommenter le PasswordAuthentication yes et le foutre à no après avoir mis ton id_rsa.pub dans ~/.ssh/authorized_keys et garder au chaud le id_rsa clé privée)

 

Le quasi c'est :

 

 - Se faire DDOS dans le cas d'une connexion ADSL + un gosse sur internet ne t'aime pas et obtient ton IP systématiquement. ça dure jamais bien longtemps et c'est possible dans le cas ou tu fait un site publique ayant un domaine et que le gosse en question ai une pseudo raison d'être innervé après toi.

 

Pour s'amuser (vécu) on peux faire rentrer les fameux vulnerability scan bots dans de fausses machines qui n'ont accès à rien (PI, VMs...) et étudier leurs actions en live.

C'est encore plus drôle quand le "hacker" crois tenir une trouvaille et se connecte manuellement dans le pot de miel monté comme un escape room prévu pour lui faire miroiter des choses tout en le faisant souffrir sur la durée.

 

"tuer une mouche avec un canon" :

- Qui va se faire chier à exploiter une vulnérabilité zero-day pour obtenir le root sur une PI et gagner l'accès a la lumière du salon de tonton jacky-les-lumières à trifouilly-les-oie ?

 

Il y a beaucoup de choses à dire sur la sécurité mais à partir d'un certain point sur une PI domotique perso ça devient de la parano pure et simple... Sauf si c'est pour s'amuser et c'est ce qui compte !

[Donovandu88]

Merci pour ta réponse 😊
Le mot de passe SSH je le change systématiquement, je vais aller jeter un il à la clé RSA.
Je me suis dis la même chose que toi, si un pirate a l'autre bout du monde accède à mon réseau, il ne va pas s'amuser longtemps avec mes lampes.

Donc je pense que je vais rester comme je suis la en fesant les mises à jour régulièrement de ma Pi.

[Donovandu88]

Du coup, utiliser des ports moins connus permet aussi d'éviter les Scan bots les plus courant ?

[Serveurperso]

Du coup, utiliser des ports moins connus permet aussi d'éviter les Scan bots les plus courant ?

 

Forcément c'est logique... pour retrouver le SSH le bot doit de scanner un certain nombre de ports TCP (il y en a 65535 car 16 bits sans compter le 0 non dispo pour applicatif) + tester le protocole derrière pour voir si il s'agit bien de SSH et pas autre chose...

[Path]

Une machine toujours à jour, un bon mot de passe ou mieux une protection par clé RSA, comme dit Pascal, c'est ce qui se fait de mieux aujourd'hui pour protéger une machine sur son port ssh. D'ailleurs, les accès non désirés se font jamais par là (sauf si t'as donné ton mot de passe ou ta clé privée ^^). T'embête pas à changer le port ssh. Les accès frauduleux se font à 99% par les autres ports plus faibles. Ne jamais exécuter les services avec le user root et fais tout bien ce la doc de ton service de domotique te dis de faire et tu seras tranquille.

[Serveurperso]

Faire tourner un service sous un compte non root permet d'avoir la sécurité Linux en second rempart quand le service comporte une faille. C'est pour protéger le reste du système lui même. Et pour augmenter cette sécurité Linux on peux faire tourner le service en chroot (et pleins d'autres astuces).

 

Mais pour une PI domotique si le service est faillible à quoi bon protéger le reste du système linux d'une raspberry PI ? La réponse c'est de protéger le reste du réseau d'une étude et attaque depuis la raspberry PI et dirigée sur une autre machine. Mais pour ça ya beaucoup mieux.

 

Si ya rien à protéger sur le réseau -> genre une box dont le mot de passe n'est pas par défaut + une PI, faire tout tourner en le service en root n'augmente en rien le risque...

 

Le seul risque sur ce genre de réseau minimaliste box + PI c'est de servir d'hébergeur de proxy pour faire des conneries sur internet sous son identité (IP) et dans ce cas le fait de tourner en compte non-root n'apporte presque pas de sécurité. Pour l'augmenter c'est du côté du réseau que ça se passe : isolation de la pi des autres PCs par VLAN domotique, firewall et filtrage en amont (box), le suft (wget) peut être bloqué depuis la PI...

Avec une bonne conf du LAN même si le service tourne en root sans prise de tête cela ne diminue pas significativement le niveau de sécurité.

 

En gros la parade absolue étant de rendre le hack complètement obsolète "tiens t'es root sur cette raspberry PI amuse toi dessus" mais tu peux rien faire d'autre que tuer l'OS de cette même raspberry pi, tu peux jouer avec l'éclairage mais t'as pas accès a mon LAN ni au Web.

[cocothebo]

Je suis d'accord sur les solutions (quoi un peu moins sur le compte root mais ça se discute presque), mais pas vraiment sur la forme.

 

Vous expliquez (surtout Serveurperso sur ce thread) que ya pas de risques puis après qu'il faut sécuriser un minimum.

Franchement, et je parle d'expérience, c'est malheureusement ce genre de "raccourci" (même si après Serveurperso tu expliques bien le pourquoi etc.) qu'on finit avec des systèmes complétement "passoires".

 

Dire plutôt les risques ne sont pas énorme, et qu'on cherche pas à se protéger contre de la "grande" cyber-criminalité donc qu'il faut "juste" appliquer des principes de sécurité de base.

 

Et il faut quand même faire attention, le serveur qui sert que à la domotique, un jour on rajoute les volets ou je ne sais quoi et la le risque augmente (quoi c'est plus dangereux que faire clignoter une lampe).

Et surtout, ce joli serveur à des chances d'être connecté sur la box, et peut servir donc de point d'entrée, surtout que les box sont très loin d'être toujours sécurisées, dernier exemple en date : https://www.lebigdat...le-livebox-noel(et franchement ce genre de failles c'est un gros scandale).

 

Petit rappel aussi sur la cryptographie, utiliser RSA peut aussi donner une fausse sensation de sécurité vu la taille de clé employée. Malheureusement, la résistance d'une clé RSA est bien moindre que sur des clés symétriques, on estime qu'une clé RSA 1024bits correspond à peine à une clé symétrique de 51bits (c'est l'équivalent de ce qu'on peut obtenir avec un mot de passe aléatoire de 9 caractère choisis parmis maj/min), une 2048 c'est même pas l'équivalent de 80 bits. 

L'avantage étant que si on te voles ton Pi ou que quelqu'un arrive à être dessus, s'il récupère ta clé public, il sera pas beaucoup plus avancé, mais comme ça veut dire qu'il est déjà sur la Pi, en fait il en a surement pas besoin.

L'inconvénient c'est qu'il faut quand même conserver sa clé privée et que si on veut se connecter d'un peu partout c'est compliqué (sauf à utiliser une carte pour stocker la clé ou truc du genre).

 

Au final un bon mot de passe peut être plus sécurisé qu'une clé RSA 2048bits, pour cela il faut 13/14 caractères parmis MAJ/min/chiffres.

(mais faut pas le dire trop fort, sinon c'est comme ce que je disais au dessus, les gens ne vont retenir que le fait que c'est mieux, et faire nimp apres )

 

 

 

Bref moi j'suis pour dire qu'il faut plutôt expliquer qu'il faut sécuriser plus que pas assez, mais c'est surement un peu de la déformation pro.

[Serveurperso]

1024 c'est obsolète le 4096 ne coute rien c'est mon par défaut en RSA partout, vu le nombre de machine sur le LAN j'utilise Ansible ou mussh...

 

Se faire voler une PI domotique ? Le principe d'une clé publique c'est que tu peux justement la diffuser sans aucun risque. Puis surtout c'est plus facile de refaire un ssh-keygen que d'inventer un autre password

 

Aussi les box d'opérateurs je n'utilise pas. Convertisseur ethernet fibre + machine routeur firewall + switch gigabit manageable c'est la base lol... Faire du spécifique à fond pour ne pas rentrer dans l’intéressant à pirater.

 

Toujours suivre le best pratice ça sert a rien d'en faire de trop et se polluer la vie, la parano c'est du 100% commercial, sauf si on est passionné ou pour s’amuser à apprendre.

 

En d'autres mots t'as toujours des gens qui font planer le petit doute sur la sécurité de l'auto hébergement c'est de la foutaise y'a aucun risque, un peu de bon sens comme aucune commande domotique dangereuse, surveillez que ça fonctionne de temps en temps faire les MAJ Debian et c'est tout.... Même si la Debian comporte pendant un moment the big faille de sécurité ce sera très très vite bouché,

 

Les hackers préfèrent toujours s'attaquer a un système de GRANDE série (comme la Livebox du post de cocothebo) qu'a la PI et au système spécifique de monsieur tartanpion. Un hacker chercheur ou propriétaire de 0day (= nouvelle faille de sécu) qui s'attaque à un truc spécifique -> un humain qui bosse à fond pour trouver une faille sans rien espérer de "gloire" en retour = on est dans du hautement improbable (le hacker zéro gloire ni retour) qui se trouve lui même déjà dans du hautement improbable (le mec avec la 0day debian qui arrive sur ta PI). J'ajoute encore une couche suplémentaire de hautement improbable, ce même hacker nogloire 0day veux et peux réussir à faire un truc mal chez toi avec ta PI et c'est pas déjà cassé en ayant vu l'uname -a....

 

Donc bidouillez et mettez des bidules en ligne sans aucune retenue !!!!

[cocothebo]

Faut pas se méprendre c'est exactement ça que je critique, surement tu sais ce que tu fais et c'est tant mieux.

 

Par contre, la majorité des gens ne savent absolument pas ce qu'ils font, et la il faut de la pédagogie beaucoup même, sinon par défaut on retient juste avec un peu de bol RSA ou pire ya 0 risque etc.

Malheureusement, dans certains cas ce sera vrai (même si déjà pour un PI servant à faire de la domotique, je m'amuserais probablement pas à la mettre sur le net), mais ce sera appliqué par certains partout et paf...

 

La majorité des gens, ils ont une box, et ils se branchent dessus, ils ne gérent pas un routeur encore moins un firewall.

 

 

Concernant RSA, oui la clé publique sert à être publique, mais bon le côté public on s'en fout, c'est la partie privée qui est importante, et c'est cette clé privée qu'il faut pour se connecter, ce qui est tout sauf pratique dans le cas voulu, accéder une cam IP ou de la domotique de partout. 

Effectivement un avantage d'utiliser un clé plutôt qu'un mdp, c'est que la génération est "automatique" (même si on peut le faire pour un mdp), par contre logiquement il te faut une passphrase qu'il faudrait dans l'absolu être à minima aussi solide que la clé, et être changée en même temps.

 

Et la on risque de retomber sur les mêmes problèmes, ou est stocké la clé privée, est ce que la passphrase est suffisante, etc.

 

 

 

Par contre je suis d'accord sur le fait de suivre les recommandations, encore faut il les trouver ce qui n'est pas si trivial.

[Serveurperso]

Et au pire, même si le hautement improbable arrive, se faire hacker sa pi et sa box ? la box l'opérateur se débrouille avec, échange gratos. la pi raz la micro SD et on recommence en mieux cette fois ! rien de tel qu'une bonne erreur pour apprendre. c'est meilleur pour le cerveau que le parano qui fait rien qui à peur de tout faire. il est absolument scandaleux de refroidir les débutants en PI pour rien.

 

Déjà le geek qui joue à faire son serveur web avec une PI est capable de lire sur le net et risque forcément moins que celui qui ne fait rien et se fait hameçonner son numéro de CB par email (et même ça osef ya l'assurance systématique&obligatoire) ! Relativise, halte au sketch, c'est que des bouts de fils et de la ferraille y'a strictement aucun risque pour la vie !!!

[cocothebo]

Je pense qu'on sera pas d'accord, mais au final c'est que la forme qui me déplait, le fond reste pas déconnant.

 

Moi j'essaye d'expliquer simplement les choses mais en essayant de me mettre à la place de qqu qui y connait rien (ou pas grand chose). Je maintiens lacher des faut mettre du RSA et ya 0 risques, pis etc. Ben non c'est pas la bonne façon de faire.

Je sais bien que malheureusement sur les forums, la plupart des demande sont en mode fast food, mais c'est pas une raison pour pas prendre le temps d'expliquer un peu les tenants et aboutissant.

 

J'aurai dit il faut mettre en place une dmz avec deux firewall, mettre en place une authentification forte ou je ne sais quoi, oui ça aurait été stupide, et un manque de relativité.

 

Et non ce n'est pas un sketch, pour la plupart des gens, scotcher la clé de sa maison sur sa porte d'entrée n'est pas pensable et pourtant c'est à peu pret ce qu'ils font avec tout ce qui concerne l'informatique.

[Path]

ça rappelle mon premier serveur perso. Quand je regardais les log apache passer en live, avec les tentatives permanentes pour exploiter les failles. Il y avait aussi toujours une ou deux session ssh (anonyme) qui n'étaient de moi. Sérieusement, je flippais complètement.

 

D'accord pour la pass phrase (c'est juste un mot de passe long ; une phase) Oui aussi bien sûr pour la taille de 2048 de la clé. Et d'accord, je partage, la sécurité informatique aujourd'hui, c'est aussi indispensable que de mettre des capotes. Mais jamais rien avec le compte root !! Même pas pour s'identifier. root ne sert qu'à installer le système.

 

Pour répondre à la question, en restant dans le contexte d'une pi à la maison, le minimum vital est quand même simple : changer le mot de passe du compte pi.

[Serveurperso]

Je ne recommande absolument pas de faire une paire de clé RSA si c'est pas pour automatiser... Pas besoin de plus qu'un bon mot de passe et un apt update/upgrade pour commencer à s'amuser à faire un serveur avec une PI partager des pages ou des fichiers via le répertoire web HTTP.

 

Et non ce n'est pas un sketch, pour la plupart des gens, scotcher la clé de sa maison sur sa porte d'entrée n'est pas pensable et pourtant c'est à peu pret ce qu'ils font avec tout ce qui concerne l'informatique.

Les clé d'une maison oui, mais la il s'agit d'une maisonnette de poupée voir une coquille d’escargot... Et faut pas pousser celui qui se paye une PI et qui à rien que l'idée d'en faire un serveur web à le minimum d'ouverture d'esprit et de capacité de recherche sur internet faut pas les prendre pour des cons... tu amalgames 2 populations sévèrement différentes la.

 

 

ça rappelle mon premier serveur perso. Quand je regardais les log apache passer en live, avec les tentatives permanentes pour exploiter les failles. Il y avait aussi toujours une ou deux session ssh (anonyme) qui n'étaient de moi. Sérieusement, je flippais complètement.

Idem sauf que j'ai tellement adoré les sniffer, faire des stats publiques sur le site, les enfermer dans des pots de miels, les faire tourner en bourrique avec des password bidons qui donnent sur rien...

 

Regarde moi ça encore maintenant juste les bots qui tentent des auth HTTP les 96 dernières heure :

 

Aussi pour les paranos de la sécurité le logiciel de robot vigibot qu'on va diffuser avec Mike est un client -> aucun besoin d'ouverture de port ou de laisser se connecter des gens sur la PI, c'est elle qui se connecte à un serveur lui même sécurisé par des habitués ça fonctionne même en 4G sans IP publique... ça va sûrement évoluer en télécommande domotique pourquoi pas

[cocothebo]

C'est un débat de sourd en fait...

 

Moi j'ai jamais dit qu'il faut pas connecter son Pi ou pas.

Par contre, à la base Donovandu88 demande ce qu'il doit faire pour sécuriser un peu son bouzin.

La réponse automatique de dire ya pas besoin de sécurité, moi ça m'exaspère, surtout qu'on ne sait pas quelle est complétement la finalité, mais quand on me parle de CamIP, domotique, je me dis qu'on ne veut pe pas que le flux soit disponible à n'importe qui.

 

Et plutôt que présenter dans ce sens, le faire dans l'autre, en sensibilisant qu'il y a des risques, dans certains cas très mineurs, et que donc avoir un bon mdp et maintenir à jour sa distrib c'est surement un bon début/suffisant.

 

Je ne dis rien de plus, et non ya pas amalgame, je bosse toute l'année avec des gens qui font des solutions de sécurité, qui parlent de sécurisé tout le temps mais qui ne sont pas fichu en fait de faire le minimum. Pourtant ça fait (devrait plutôt) parti de leur taf, pas une bidouille dans un coin chez soi.

Donc non, la sécurité info c'est plus que le parent pauvre, on veut faire des trucs qui vont vite, qui sont jolis pis si reste un peu de temps on dit qu'on fait de la sécurité (en plus c'est un peu à la mode) mais tant qu'on se fait pas démonter on continue.

 

Bref ça coûte pas cher d'expliquer un peu le pourquoi du comment, et ça n'empêche pas de faire un peu de sensibilisation/pédagogie.

[Serveurperso]

Il n'y aucun débat, tu parles à un informaticien aussi, la première réponse donne assez d'info à celui qui veux faire un serveur PI pour qu'il continue à chercher de lui même, sauf question technique plus précise auquel cas on y répondra avec plaisir.

Si la personne est parano d'entrée sur les attaque de bots lui recommander le changement de ports et l'auth par clé semble la base logique.

 

Ne pas oublier qu'il arrive souvent que ses bidouilles que les passionnés font à la maison sont plus élégantes et performantes que celles des pros ou les équipes mal coordonnées qui ne font ça que pour gagner le salaire à la fin du mois. Genre la petite PI bien bichonée et apt updatée se retrouve plus sécurisée que le vieux serveur oublié dans une baie !

[Donovandu88]

Si ya rien à protéger sur le réseau -> genre une box dont le mot de passe n'est pas par défaut + une PI, faire tout tourner en le service en root n'augmente en rien le risque...

 

Le mot de passe par défaut de la Livebox (le début du code wifi), c'est toujours mieux de le changer également?

 

 

Par contre, à la base Donovandu88 demande ce qu'il doit faire pour sécuriser un peu son bouzin.

La réponse automatique de dire ya pas besoin de sécurité, moi ça m'exaspère, surtout qu'on ne sait pas quelle est complétement la finalité, mais quand on me parle de CamIP, domotique, je me dis qu'on ne veut pe pas que le flux soit disponible à n'importe qui.

 

Et plutôt que présenter dans ce sens, le faire dans l'autre, en sensibilisant qu'il y a des risques, dans certains cas très mineurs, et que donc avoir un bon mdp et maintenir à jour sa distrib c'est surement un bon début/suffisant.

 

Dans le cas de ma Caméra IP, j'ai justement fait en sorte que celle-ci ne filme que dehors et donc n'entre pas dans ma vie et pour la domotique, il n'y a rien de pilotable à part des lampes. Donc si au pire je me fais pirater, le hacker ne verra quasiment rien.

 

Mais j'avoue que vous me perdez un peut 

[Serveurperso]

Sur cette box Orange à faire en sorte que le mot de passe par défaut ne soit pas identique pour tout le monde, c'est sécurisé par défaut.

 

Mais tu peux t'habituer à avoir un mot de passe à toi différent pour chaque chose en utilisant un moyen qui te permet de tout mémoriser facilement + de noter ça en lieu sur ex: les papiers de l'abonnement ou un carnet à mot de passe qui se ne trouve pas a côté de l'ordi ou pire un post-it devant une caméra lol ça c'est déjà vu.

[Donovandu88]

Oui donc du côté la c'est bon alors et j'ai des mots de passe différents à chaque fois.

[cocothebo]

Ah pardon ya pas de débat, je savais pas qu'il ne fallait pas dire qu'on pense autrement...

 

Mais bon oui, pour utilisation simple sans risque pour ta vie privée, etc, tu as déjà eu tous les bons conseils sur ce thread (d'ailleurs même si je suis pas d'accord sur la forme, effectivement Serveurperso a donné a peu pret ce qu'il faut).

 

Mais garder à l'esprit que si ce Pi est connecté sur "ton réseau", il peut être un point d'accès à celui-ci et que surtout, même si la c'est surement suffisant d'avoir juste un mot de passe (franchement ça sert à rien de foutre du RSA, ça apportera plus d'emmerdes qu'autre chose) et tenir à jour sa distrib, suivant ce que tu rajoutes dessus, il faudra bien reconsidérer le tout.

 

 

Juste pour pinailler 

 

 

Sur cette box Orange à faire en sorte que le mot de passe par défaut ne soit pas identique pour tout le monde, c'est sécurisé par défaut.

Voila encore une affirmation à la hache qui peut être vrai comme très fausse. C'est comme dire ya HTTPS donc c'est secure...