Risque d'intrusion - NAT
Hors ligneJulien78 Le 01/02/2008 à 20:21 Profil de Julien78 Configuration de Julien78

Bonjour à tous,

J'ai installé VNC server sur un de mes 2 PC afin de pouvoir y accéder depuis mon autre PC.  J'ai une connexion via Freebox, que j'ai passée en mode routeur (donc adressage privé de type 192.168.x.x pour mes postes).
Je n'ai paramétré aucune redirection de port sur le PC avec VNC.

Ma question est tres simple : y'a t-il malgré tout un risque (aussi faible soit-il) qu'un intrus vienne se connecter sur mon poste où le server VNC tourne? si oui, comment cela pourrait-il etre possible, dans la mesure ou aucune regle de NAT sur la freebox ne permet de connexion sur ce poste?

Merci bcp d'avance pour vos réponses!
Hors ligneAtex Le 01/02/2008 à 21:10 Profil de Atex Configuration de Atex

APVS
Salut,

N'oublie jamais, dans l'informatique, tout est possible, quelques soient les protections mises en place!
Hors ligneAnthony Le 01/02/2008 à 21:18 Profil de Anthony Configuration de Anthony

Fou du volant
Salut

Si tu as décoché la case "DMZ" et qu'effectivement aucune règle NAT ne vient rediriger certains ports, dans ce cas tout est Ok, à moins d'une faille sur la freebox, ce qui est peu probable.
--

Hors ligneJulien78 Le 01/02/2008 à 21:19 Profil de Julien78 Configuration de Julien78

je me doute bien que c'est malgré tout possible, mais j'aimerais que l'on m'explique techniquement comment?....
Hors ligneAtex Le 01/02/2008 à 22:45 Profil de Atex Configuration de Atex

APVS
Même les plus gros coffres-fort ne résiste pas à l'intelligence humaine, même les FBI ou la CIA rencontre des problèmes...


Cependant si quelqu'un te donne des infos techniques, tu sauras comment pirater toi-même une autre bécane équiper de VNC... Donc je doute que quelqu'un t'en dise plus.
Hors ligneFlamme Le 01/02/2008 à 23:28 Profil de Flamme Configuration de Flamme

Ouais et puis qui voudrait s'introduire sur ton pc ? Et pour y faire quoi ?

Perso même si je savais le faire j'ai autre chose à faire de mes journées
Hors ligneJulien78 Le 01/02/2008 à 23:53 Profil de Julien78 Configuration de Julien78

@flamme : qui viendrait s'introduire sur mon pc? tu veux quoi, que je te donne des noms?? lol je plaisante. je veux bien croire que tu aies autre chose a foutre de tes journées que d'essayer de pirater des pc, et mais aussi! cela dit, il y a toujours des ptits malins (et encore... facon de parler) qui passent leur temps a scanner en rafale des ports et a tenter des intrusions sur des pauvres internautes qui n'ont rien demandé à personne. j'en sais qqch, j'en ai deja subi les frais. j'avais laissé mon pc allumé toute la journée, avec vnc dessus, le soir en arrivant chez moi, j'ai vu que le gars avait commencé a installé des trojans sur mon poste et compagnie....

depuis, je suis devenu un peu parano si tu veux... antivirus, firewall, spyware and co....

j'ai récemment acheté un nouveau PC (que j'ai remis en XP, VISTA de m****, tu ne passeras pas par moi :) mais bon, ca s'est un autre débat). pour l'instant, niveau sécu, j'ai juste un antivirus (AVG free, tres bien au passage). comme je suis derriere une box en adressage privé, je m'interroge sur la nécessité d'y mettre un pare-feu.

l'objet de mon post est juste de savoir si le mécanisme du NATage proposé par les box des opérateurs est suffisant en tant que tel, ou s'il faut prévoir pare-feu en plus... je vois d'ici vos réponses : OUI il faut un pare-feu, 2 précautions valent mieux qu'une... mais pouquoi? si je n'ouvre aucun port via le NAT

je cherche juste à comprendre

merci pour vos réponses, que j'espere un peu plus constructives... sans vouloir offenser quiquonque!!...
Hors ligneAnthony Le 02/02/2008 à 00:40 Profil de Anthony Configuration de Anthony

Fou du volant
Tous les mecs qui scannent les IP ne vont en général pas plus loin quand ils voient que les ports sont fermés ou masqués, ils cherchent des ports ouverts. Or, la freebox sans règle NAT et sans DMZ te permet d'avoir un PC totalement à l'abri au niveau des connexions entrantes. Même le plus aguerri des hackers ne pourra savoir si ton PC a un port ouvert ou non, et vu que ta freebox n'est pas configurée pour utiliser le NAT, il n'y a aucun risque.
--

Hors ligneTrepied Le 02/02/2008 à 10:12 Profil de Trepied Configuration de Trepied

Dr_Chacalux
Julien78 a écrit :
@flamme : qui viendrait s'introduire sur mon pc? tu veux quoi, que je te donne des noms?? lol je plaisante. je veux bien croire que tu aies autre chose a foutre de tes journées que d'essayer de pirater des pc, et mais aussi! cela dit, il y a toujours des ptits malins (et encore... facon de parler) qui passent leur temps a scanner en rafale des ports et a tenter des intrusions sur des pauvres internautes qui n'ont rien demandé à personne. j'en sais qqch, j'en ai deja subi les frais. j'avais laissé mon pc allumé toute la journée, avec vnc dessus, le soir en arrivant chez moi, j'ai vu que le gars avait commencé a installé des trojans sur mon poste et compagnie....


Un serveur ça se paramètre et ça se sécurise... T'es sur que t'avais pas plutot installer des logiciels pirates tout pourris plein de spywares? Et que tu crois que c'est les chinois du FBI qui...

ceci dit, derrière un routeur, t'es à l'abri... Après je vois pas vraiment l'intérêt de prendre le contrôle à distance d'un PC qui est dans la même maison ? le levage de cul évite en général tout désagrement technique...


Julien78 a écrit :

depuis, je suis devenu un peu parano si tu veux... antivirus, firewall, spyware and co....


Oui, tout le monde est parano mais tout le monde prend des solutions merdiques... Devinons, avast?

Julien78 a écrit :

j'ai récemment acheté un nouveau PC (que j'ai remis en XP, VISTA de m****, tu ne passeras pas par moi :) mais bon, ca s'est un autre débat). pour l'instant, niveau sécu, j'ai juste un antivirus (AVG free, tres bien au passage). comme je suis derriere une box en adressage privé, je m'interroge sur la nécessité d'y mettre un pare-feu.


Déjà, rien que windows quand on est un parano de la sécurité c'est une ineptie, vois tu jeune padawan, des ordinateurs avec un bon Gnu/linux (genre debian, gentoo) bien paramétrés avec un serveur ssh paramétré et blindé, un iptable lui aussi paramétré et un firewall maison en freeBSD sur une vieille bécane, là, à mon avis, le FBI va se casser les dents un moment.


Julien78 a écrit :

l'objet de mon post est juste de savoir si le mécanisme du NATage proposé par les box des opérateurs est suffisant en tant que tel, ou s'il faut prévoir pare-feu en plus... je vois d'ici vos réponses : OUI il faut un pare-feu, 2 précautions valent mieux qu'une... mais pouquoi? si je n'ouvre aucun port via le NAT

je cherche juste à comprendre

merci pour vos réponses, que j'espere un peu plus constructives... sans vouloir offenser quiquonque!!...

Si le mec passe le routeur il passera le soft mais je vois pas comment techniquement, après si le serveur est sécurisé, prendre le controle c'est encore une autre paire de manche...

ceci dit, j'ai une box et bien entendu mes PC ont un Iptable très bien paramétré
--
Computers are like air conditioners, they are useless when you open Windows.
Hors ligneJulien78 Le 02/02/2008 à 12:04 Profil de Julien78 Configuration de Julien78

Trepied a écrit :
Un serveur ça se paramètre et ça se sécurise... T'es sur que t'avais pas plutot installer des logiciels pirates tout pourris plein de spywares? Et que tu crois que c'est les chinois du FBI qui...


en fait, j'ai mené ma ptite enquete suite a cette "attaque" et il se trouve que le gars a su exploiter une faille (tres conne) de VNC, qui permettait d'entrer sur la bécane en spécifant n'importe quel mot de passe. C'etait avec la version 4.1.1 de VNC il me semble


Trepied a écrit :
Après je vois pas vraiment l'intérêt de prendre le contrôle à distance d'un PC qui est dans la même maison ? le levage de cul évite en général tout désagrement technique...


Je te suis sur le fond, mais pour certaines actions toutes betes, qd t'as un pc a un étage et l'autre pc à l'autre étage, ca aide qd meme parfois, de prendre le controle


Trepied a écrit :

Déjà, rien que windows quand on est un parano de la sécurité c'est une ineptie, vois tu jeune padawan, des ordinateurs avec un bon Gnu/linux (genre debian, gentoo) bien paramétrés avec un serveur ssh paramétré et blindé, un iptable lui aussi paramétré et un firewall maison en freeBSD sur une vieille bécane, là, à mon avis, le FBI va se casser les dents un moment.


pareil, je suis bien d'accord avec toi, windows et sécurité, ca colle pas. je suis moi meme un fan du pinguoin aussi, bien que débutant. mon but étant de m'affranchir completement du M$ et de tout faire avec des solutions libres... hélas, pour certains usages, ca n'est pas tjs tjs possible


bref, si je résume par rapport à ma question, on a donc vu que le NAT des box des opérateurs est suffisant pour ne pas ouvrir de port sur internet. OK. alors une autre question (qui va sous doute sembler naïve) me vient :
à quoi servent les pare-feu dans le cas où (et seulement dans le cas où) on se connecte au net via un routeur (que ce soit celui de l'opérateur ou son routeur filaire ou wifi perso, peu importe), cad sans avoir d'IP publique pour son pc?
Vous avez résolu votre problème avec VIC ? Faites-le savoir sur les réseaux sociaux !
Vulgarisation-informatique.com
Cours en informatique & tutoriels