[Ubuntu-QC] Un autre utilisateur essaie d'accéder à mon bureau

Gilbert Dion gilbertdion at gmail.com
Mar 27 Mar 18:56:05 UTC 2012 

Le 26 mars 2012 17:54, Alexandre Patenaude
<alexandre.patenaude at gmail.com>a écrit :

> 2012/3/23 Gilbert Dion <gilbertdion at gmail.com>
>
>> Bonjour,
>>
>> J'ai un réseau domestique derrière un routeur D-Link sécurisé WPA2 dont
>> les trois ordinateurs sont animés par Ubuntu 11.10. Sur mon laptop, trois
>> fois en dix minutes, et encore à l'instant, j'ai vu apparaitre une fenêtre
>> m'indiquant qu'un ordinateur (d'une adresse chaque fois différente) voulait
>> voir ou contrôler mon bureau et me demandait de l'autoriser. Où est la
>> faille? Est-il possible de n'être visible que pour ceux qu'on a
>> préalablement autorisés? Le bureau à distance utilise quel port? Le
>> firewall du routeur l'ouvre-t-il par défaut?
>>
>>
> Bonjour,
>
> Quelques petits conseils à propos du service de partage de bureau:
>
>
> * *Si tu n'as pas besoin d'utiliser le bureau à distance:*
> À moins d'avoir réellement besoin d'accéder à distance à ton ordinateur
> (que ce soit depuis un poste externe à ton réseau local ou interne à ton
> réseau local), désactive le service de partage de bureau dans ton système
> Ubuntu. Faire fonctionner un service n'est réellement utile que lorsqu'on
> l'utilise, et arrêter les services inutiles limite les possibilités
> d'intrusions.
>
>

>
> * *Si tu as besoin d'accéder au bureau à distance de ton ordinateur, mais
> seulement à partir d'autres ordinateurs à la maison:*
> Par défaut, le port utilisé par le Bureau à distance (VNC) est le port
> 5900/tcp. À moins de vouloir être en mesure de prendre le contrôle à
> distance de ton ordinateur à partir d'un poste extérieur à ton réseau local
> (ex: contrôler ton ordinateur de la maison à partir du bureau, de la
> bibliothèque, de l'université...), assure-toi de bloquer les connexions
> entrantes à partir de ce port dans ton routeur. (Par défaut, ça devrait
> être déjà le cas, de mémoire: un tel port n'est pas ouvert par défaut.)
> Bloquer les connexions entrantes sur un port de ton routeur n'impacte pas
> tes postes dans ton réseau interne: les autres ordinateurs à la maison
> pourront toujours demander une connexion de bureau à distance à ton PC.
>
> Accessoirement, il pourrait être intéressant aussi d'activer un pare-feu
> logiciel dans ton ordinateur afin de bloquer les connexions entrantes non
> autorisées dans ton ordinateur en provenance de ton réseau local. Les
> autres intervenants ont déjà mentionné UFW, qui est présent de base dans
> Ubuntu mais désactivé par défaut. Active-le, bloque les connexions
> entrantes dans ton ordinateur, puis ajoute une exception pour autoriser les
> connexions entrantes sur le port 5900/tcp uniquement en provenance de ton
> réseau local. Ceci peut être réalisé graphiquement avec GUFW, mais ça se
> résume aussi à trois petites commandes à copier-coller:
>
> sudo ufw enable
> sudo ufw default deny incoming
> sudo ufw allow proto tcp from *192.168.0.0*/24 to any port 5900
>
> où *192.168.0.0* est l'adresse de réseau. C'est généralement *192.168.0.0*(D-Link, Netgear) ou
> *192.168.1.0* (Cisco/Linksys).
>
> Attention: un telle règle autorise les demandes de connexions de bureau à
> distance à partir de tous les postes de ton réseau local; cela signifie que
> si ton réseau local est compromis (ex: ton réseau WiFi n'est pas protégé
> par un mot de passe et ton voisin, la visite et le petit hacker de l'appart
> d'en-dessous se connectent à ton réseau WiFi: ils font alors tous partie de
> ton réseau local!) et que les demandes proviennent bien de ton réseau
> local, une telle règle de pare-feu logiciel ne te sera probablement pas
> très efficace. C'est donc à utiliser en plus de ce que propose Frédéric
> Côté, à savoir: vérifier s'il n'y a pas des petits comiques qui se
> connectent à ton réseau local.
>

Excellent, clair, bien écrit et efficace. Merci. À partir de mon bureau, je
veux tout simplement avoir accès à l'ordi qui est branché sur ma chaine
audio et qui la fournit en musique stockée sur mon disque NAS. Donc, ça
reste dans mon réseau local (par exemple, je veux mettre en pause la
musique qui joue à tue-tête parce que le téléphone sonne ou parce que je
veux écouter le clip de Lisa Leblanc qu'on vient de me recommander). Aucun
usage hors chez moi donc. J'ai vérifié que le port 5900 est indisponible de
l'extérieur. J'ai tout de même activé ufw comme indiqué.

Question à propos de cela: j'ai indiqué l'adresse IP de mon routeur, qui
est 192.168.0.1, mais lorsque je demande

   sudo ufw status verbose

il me retourne

   5900/tcp ALLOW IN 192.168.0.0/24

Où on voit que 192.168.0.1 est devenu 192.168.0.0... Normal?

Par ailleurs, je peux quand même accéder à l'autre ordinateur quand je
n'ouvre pas le port 5900 avec la commande que tu m'as indiquée...

En guise de complément, j'ai utilisé les outils réseau et demandé un scan
de ports pour mon ordinateur desktop (avec l'adresse interne
192.168.0..xxx). J'ai obtenu ceci:

   22 ouvert ssh
  139 ouvert netbios-ssn
  445 ouvert microsoft-ds
 4713 ouvert inconnu
 8058 ouvert inconnu
16001 ouvert inconnu
17500 ouvert inconnu
36660 ouvert inconnu

J'imagine que ce sont des ports ouverts pour le réseau local seulement, car
un scan de mon IP externe ne me donne que le port suivant:

   53 ouvert domain

Et un scan de mon routeur (192.168.0.1) m'indique:

   53 ouvert domain
   80 ouvert www

Gilbert
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <https://lists.ubuntu.com/archives/ubuntu-quebec/attachments/20120327/b8c1386e/attachment.html>

Plus d'informations sur la liste de diffusion Ubuntu-quebec