J’ai récemment fait l’acquisition de mon 1er Raspberrypi, sans vraiment de projet concret actuellement mais il tourne quand même H24
Je vous l’a fais courte, j’ai ouvert l’accès hors réseau local sur mon Pi4 dans l’optique d’héberger une page web dessus tôt ou tard.
Je me suis donc tourné vers un DNS gratuit sur No-IP pour ne pas partager mon adresse IP publique avec n’importe qui.
Ceci fait, je ping mon DNS No-IP via un terminal et je me retrouve avec mon IP publique en clair sur le terminal …
Je trouve ça moyen niveau sécurité.
J’ai cherché un moyen de ping mon adresse DNS No-IP ailleurs que sur mon réseau local qui est identique au Pi4, j’ai trouvé, mais j’ai pas fais , pour voir si j’avais le même retour terminal. (Connecté mon téléphone portable sur un PC portable et ping ensuite le DNS No-IP, me sortirait de mon réseau local de la box internet).
J’ai loupé quelques choses ?
A-t-on le même résultat avec une formule payante sur No-IP ?
Y a-t-il une solution gratuite pour régler ce problème ?
Je suis pas très calé dans le domaine, mais il me semble que le but d’un DNS n’est que de référencer un nom à la place d’une adresse IP. On interroge le nom DNS et il pointe sur l’adresse IP. L’avantage de la solution No-IP et consorts n’est que de donner toujours le même nom quelque soit l’adresse IP Internet de la box. C’est pratique si l’adresse IP est non fixe et aussi pour un service web hébergé chez soi.
Je ne voit pas de sécurisation d’adresse IP apportée par un service de DNS.
Effectivement, je suis bien d’accord avec ce que tu dis, et a mon sens tu as raison de bout en bout !
Je ne suis pas forcément calé non plus sur le sujet, mais néanmoins surpris que nos IP publique se retrouvent aussi facilement a la vue de tous.
J’ai testé, si l’on prend un hébergement, également gratuit, chez free par exemple, qui offre également des DNS (et j’imagine qu’il y a un moyen de donner a ces DNS le même rôle que celui de No-IP ?), on constate qu’un ping sur une adresse free retourne une adresse MAC et non sur l’IP en clair, ce qui reste a mon sens plus dissuasif quand même .
Là ou je veux en venir, c’est qu’en hébergeant, ou en ouvrant un accès extérieur vers notre raspberry tranquillement posé sur le coin de notre bureau, on peut vite se retrouver a plusieurs sur nos machines de notre réseau local et donc dans l’ensemble nos machines
A moins qu’il y ai un moyen de (trouver comment) au moins masquer un minimum nos vie privées, il me semble presque dangereux d’ouvrir le Rasperry au réseau externe depuis chez soi.
Je ne referais pas le monde aujourd’hui, mais a mon sens, le « seul » moyen de se protéger un minimum serait d’avoir un routeur (type Linksys) a la maison, couplé au modem internet, pour créer une barrière convenable aux éventuelles venue extérieur.
Je ne voit pas de sécurisation d’adresse IP apportée par un service de DNS.
Est-ce que a ta connaissance il existe un moyen d’y remédier sur Raspberry connecté a la base sur son réseau local?
En tout cas merci pour ta réponse, qui a permis de rappeler l’utilité première du DNS
effectivement permettre l’accès au monde entier à son réseau privé n’est pas sans risque ! et il n’y a pas de solution infaillible !
il y a juste des « bonnes pratiques » qui limitent le risque :
. mettre un firewall
. installer fail2ban
. supprimer l utilisateur pi et en créer un original
. ne pas avoir le sudo sans la saisie obligatoire d un mot de passe secure
. mettre a jjour régulièrement le système
. sauvegarder
. et j en oublie …
C’est pourtant le cas depuis qu’Internet et la commande ping existe. On peut comparer l’adresse IP est à adresse postale, ça pointe sur le lieu physique où se trouve le point d’entrée de la machine.
Je crains que ce soit l’adresse IPV6 en non l’adresse MAC !
Oui, c’est vrai, mais aucunement besoin d’avoir un Raspberry PI les hackeurs scannent en permanence les réseaux à la recherche d’une porte d’entrée. D’ailleurs essayez de mettre une machine sur le réseau avec un port SSH par exemple d’ouvert et consulter les logs, vous constaterez que vous avez des milliers de tentatives de connexions par jour.
Dans tous les cas suivez les conseils avisé de @bof en essayant de bien comprendre les risques encourus.
Les port inférieur à 139 sont majoritairement mieux protégé que les autres sous Linux.
Tu peux simplement changer le port pour réduire l’effet des pings, et aussi éviter un remplissage du disque dur causé par le log de fail2ban (arrivé sur des VPS et serveur dédié). Mais ne pas utiliser de ports simple, comme remplacer le 80 par 8080 et le 22 en 2222, c’est des ports scanné automatiquement aussi.
Par exemple changer le port HTTP de 80 à 60, et de prendre le port 18 au lieu de 22 pour le SSH.
Si ton RPi est connecté directement à internet, alors pense à utilise FirewallD ou iptables pour bloquer les ports non utilisés.
SI tu est derrière un Routeur, sert toi des ports virtuel (Port Fordward) pour rediriger vers l’appareil les requêtes. Tu peux alors garder les ports par défaut sur l’appareil, et donner un autre port sur le Routeur.
Afficher ton IP avec no-ip ou autres service de DDNS n’est pas plus risqué que de rien avoir, car ton adresse IP est déjà sur internet. Cependant, si avec le pirate connait ton No-Ip et qu’il trouve une faille, il pourra te retracer plus simplement, c’est le seul « avantage » que le no-ip lui donnera, soit le même avantage que toi.
Perso, j’ai 3 DNS reliés à l’adresse IP de ma connexion à la maison, elle sont sur mon domaine principal (levelkro.net) et j’ai pas eux de piratage depuis ce temps (plusieurs années). Je ne donne pas accès au SSH depuis l’extérieur, mais j’ai quand mêmes quelques services offerts, sur des ports autre que le standard.
Par expérience, je peux te dire que le fait de « divulguer » ton IP ne change pas grand-chose. Il y a des robots qui tournent avec une boucle sur toutes les adresses publiques et tentent de scanner les ports ouverts. Si par exemple ton port ssh est ouvert, ils vont alors essayer d’entrer avec une liste de noms d’utilisateur et mot de passe par défaut.
Donc le problème n’est pas qu’on connaisse ton adresse mais quels ports tu as ouvert dans le firewall (souvent celui du modem)
C’est les port, mais utiliser des port en haut d’un certain seil (10000 et +) par exemple sera moins solicité car les scan vont sur les port bas, et les « standard ». Il y a quand même 65535 ports sur un système, alors tout les scanner n’est pas rentable.
Et habituellement, si quelqu’un change son port d’accès SSH par exemple, le système est surement plus sécurisé. Ils cherchent avant tout des postes avec des config de base ou avec peu ou pas de protection.
, pour voir si j’avais le même retour terminal. (Connecté mon téléphone portable sur un PC portable et ping ensuite le DNS No-IP, me sortirait de mon réseau local de la box internet).
