Aller au contenu

Port VPN IPSec et sécurité des accés ?


Messages recommandés

Bonjour

J'ai suivi le tuto de Fenrir pour sécuriser mon NAS notamment au niveau du parefeu où il recommande de n'ouvrir les ports d'accès distant qu'à la France. Je me pose une question concernant ce point puisqu'il m'arrive régulièrement d'être à l'étranger et de laisser ma famille ici, et en cas de besoin d’intervenir sur les paramètres du Nas ou autre appareil du réseau local, je suis le seul compétent pour le faire. Comme je suis plutôt "tête en l'air" je ne suis pas sûr de penser à chaque fois à changer le pays d'accès avant de partir à l'étranger, et me retrouverai donc dans l'impossibilité d'aider sur place.

Ma question est : est ce dangereux niveau sécurité de laisser les ports concernant l'accès VPN IPSec ouvert au monde, sachant que j'ai une surcouche SSH avec passphrase pour protéger l'accès ?

D'autre part est ce que l'accès à un VPN privé est possible n'importe où dans le monde ou y a t-il des restrictions dans certains pays (je sais que c'est le cas pour les VPN de type brouillage de piste) ? Et si ce n'est pas accessible quelle est la solution pour accéder au NAS ?

Merci à vous

Mygh

Lien vers le commentaire
Partager sur d’autres sites

Tout port ouvert est une entrée potentielle pour les hackers. A vous de vous en prémunir avec des mdp forts et des blocages sur les tentatives de connexions infructueuses.

Le choix de l'IPSec seul n'est pas forcément le plus judicieux si vous êtes amené à vous déplacer, à cause des filtrages souvent en place dans les entreprises qui bloquent très souvent les ports, entre autres les 500 et 4500. Je vous conseillerais d'utiliser aussi OpenVPN pour lequel vous pouvez choisir le port de connexion. En prenant un port standard (443) qui est normalement ouvert à peu près partout, vous augmentez vos chances de pouvoir vous connecter à partir d'un serveur d'entreprise à condition qu'il soit peu regardant sur le protocole utilisé. Mais cela exige aussi que votre port 443 soit ouvert au 4 vents.

On ne peut pas avoir le beurre et l'argent du beurre.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Mic13710 a dit :

[...], à cause des filtrages souvent en place dans les entreprises qui bloquent très souvent les ports, entre autres les 500 et 4500.

En amont des ports qui pourraient être bloqués, c'est surtout le protocole d'encapsulation (ESP pour IPsec) qui n'est tout simplement pas autorisé par défaut sur les équipements professionnels.

Sur les équipements grand public c'est le contraire, les protocoles d'encapsulation (ESP pour IPsec, GRE pout PPTP, ...) et d'autres protocoles spécifiques aux réseaux NATés (NAT-T pour IPsec, ...) sont autorisés par défaut. C'est le fameux VPN pass-through qu'on voit souvent dans les spécifications.

Si tu disposes d'un nom de domaine, j'aurais tendance à utiliser le reverse proxy pour accéder au DSM. Ainsi, tu pourrais configurer les autorisations depuis l'étranger sans avoir à t'en soucier avant ton départ.

@Mic13710 : Je ne sais pas si les échecs d'authentification au VPN sont capturés par le blocage automatique.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, PiwiLAbruti a dit :

Je ne sais pas si les échecs d'authentification au VPN sont capturés par le blocage automatique.

Sans souci. Je l'ai encore expérimenté la semaine dernière lors d'essais de connexion d'un automate avec OpenVPN. Blocage systématique dès le nombre de connexions échouées atteint dans les temps impartis.

Lien vers le commentaire
Partager sur d’autres sites

Tout d'abord, merci pour vos précieuses réponses.

Concernant le nom de domaine, malheureusement, je n'en n'ai pas. Je passe par un dyndns pour accéder à mon serveur depuis l'extérieur (pas de loopback non plus, c'est une LiveBox). Donc je ne crois pas qu'on puisse parler de nom de domaine à proprement parler ?

Ce qui voudrait dire que je suis coincé pour le reverse proxy ?

Sinon j'avais pensé à utiliser TeamViewer à distance pour ouvrir temporairement le port necessaire et ainsi avoir un accès dans n'importe quel pays, mais je pense que c'est aussi du VPN ? Donc probablement bloqué aussi ?

Lien vers le commentaire
Partager sur d’autres sites

Mon blocage auto est déjà activé depuis que mon Nas est accessible de l'extérieur 😉
J'espère que le VPN fonctionnera de partout, sinon je n'aurais pas d'autre choix que mettre le DSM sur un port perso accessible du monde entier -_-

EDIT :

Je crois que je viens de trouver la solution. Ma Livebox est accessible à distance par un port perso et une double authentification. Je peux paramétrer un port perso pour atteindre DSM de partout, que j'active uniquement quand j'en ai besoin à distance via la LiveBox. Il me reste à me connecter sur DSM et je peux agir tranquillement de n'importe où.... Je pense qu'en terme de sécurité c'est pas trop mal, qu'en pensez vous ?

Modifié par Myghalloween
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.