Le 26 mars 2012 17:54, Alexandre Patenaude <span dir="ltr"><<a href="mailto:alexandre.patenaude@gmail.com">alexandre.patenaude@gmail.com</a>></span> a écrit :<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="gmail_quote"><div class="im">2012/3/23 Gilbert Dion <span dir="ltr"><<a href="mailto:gilbertdion@gmail.com" target="_blank">gilbertdion@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div>Bonjour,<br></div><div><br></div><div>J'ai un réseau domestique derrière un routeur D-Link sécurisé WPA2 dont les trois ordinateurs sont animés par Ubuntu 11.10. Sur mon laptop, trois fois en dix minutes, et encore à l'instant, j'ai vu apparaitre une fenêtre m'indiquant qu'un ordinateur (d'une adresse chaque fois différente) voulait voir ou contrôler mon bureau et me demandait de l'autoriser. Où est la faille? Est-il possible de n'être visible que pour ceux qu'on a préalablement autorisés? Le bureau à distance utilise quel port? Le firewall du routeur l'ouvre-t-il par défaut? </div>



<div><br></div></blockquote><div><br></div></div><div>Bonjour,</div><div><br></div><div>Quelques petits conseils à propos du service de partage de bureau:</div><div><br></div><div><br></div><div>* <b>Si tu n'as pas besoin d'utiliser le bureau à distance:</b></div>



<div>À moins d'avoir réellement besoin d'accéder à distance à ton ordinateur (que ce soit depuis un poste externe à ton réseau local ou interne à ton réseau local), désactive le service de partage de bureau dans ton système Ubuntu. Faire fonctionner un service n'est réellement utile que lorsqu'on l'utilise, et arrêter les services inutiles limite les possibilités d'intrusions.</div>



</div><div> </div></blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><br></div><div><br></div><div>* <b>Si tu as besoin d'accéder au bureau à distance de ton ordinateur, mais seulement à partir d'autres ordinateurs à la maison:</b></div>

<div>Par défaut, le port utilisé par le Bureau à distance (VNC) est le port 5900/tcp. À moins de vouloir être en mesure de prendre le contrôle à distance de ton ordinateur à partir d'un poste extérieur à ton réseau local (ex: contrôler ton ordinateur de la maison à partir du bureau, de la bibliothèque, de l'université...), assure-toi de bloquer les connexions entrantes à partir de ce port dans ton routeur. (Par défaut, ça devrait être déjà le cas, de mémoire: un tel port n'est pas ouvert par défaut.) Bloquer les connexions entrantes sur un port de ton routeur n'impacte pas tes postes dans ton réseau interne: les autres ordinateurs à la maison pourront toujours demander une connexion de bureau à distance à ton PC.</div>



<div><br></div><div>Accessoirement, il pourrait être intéressant aussi d'activer un pare-feu logiciel dans ton ordinateur afin de bloquer les connexions entrantes non autorisées dans ton ordinateur en provenance de ton réseau local. Les autres intervenants ont déjà mentionné UFW, qui est présent de base dans Ubuntu mais désactivé par défaut. Active-le, bloque les connexions entrantes dans ton ordinateur, puis ajoute une exception pour autoriser les connexions entrantes sur le port 5900/tcp uniquement en provenance de ton réseau local. Ceci peut être réalisé graphiquement avec GUFW, mais ça se résume aussi à trois petites commandes à copier-coller:</div>



<div><br></div><div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><font face="'courier new', monospace">sudo ufw enable</font></div><div><font face="'courier new', monospace">sudo ufw default deny incoming</font></div>



<div><font face="'courier new', monospace">sudo ufw allow proto tcp from <b><u>192.168.0.0</u></b>/24 to any port 5900</font></div><div><br></div></blockquote>où <i>192.168.0.0</i> est l'adresse de réseau. C'est généralement <i>192.168.0.0</i> (D-Link, Netgear) ou <i>192.168.1.0</i> (Cisco/Linksys).</div>



<div><br></div><div>Attention: un telle règle autorise les demandes de connexions de bureau à distance à partir de tous les postes de ton réseau local; cela signifie que si ton réseau local est compromis (ex: ton réseau WiFi n'est pas protégé par un mot de passe et ton voisin, la visite et le petit hacker de l'appart d'en-dessous se connectent à ton réseau WiFi: ils font alors tous partie de ton réseau local!) et que les demandes proviennent bien de ton réseau local, une telle règle de pare-feu logiciel ne te sera probablement pas très efficace. C'est donc à utiliser en plus de ce que propose Frédéric Côté, à savoir: vérifier s'il n'y a pas des petits comiques qui se connectent à ton réseau local.</div>

</blockquote><div><br></div><div>Excellent, clair, bien écrit et efficace. Merci. À partir de mon bureau, je veux tout simplement avoir accès à l'ordi qui est branché sur ma chaine audio et qui la fournit en musique stockée sur mon disque NAS. Donc, ça reste dans mon réseau local (par exemple, je veux mettre en pause la musique qui joue à tue-tête parce que le téléphone sonne ou parce que je veux écouter le clip de Lisa Leblanc qu'on vient de me recommander). Aucun usage hors chez moi donc. J'ai vérifié que le port 5900 est indisponible de l'extérieur. J'ai tout de même activé ufw comme indiqué.</div>

<div><br></div><div>Question à propos de cela: j'ai indiqué l'adresse IP de mon routeur, qui est <font face="courier new,monospace">192.168.0.1</font>, mais lorsque je demande </div><div><font face="courier new,monospace"><br>

</font></div><div><font face="courier new,monospace">   sudo ufw status verbose</font> </div><div><br></div><div>il me retourne </div><div><font face="courier new,monospace"><br></font></div><div><font face="courier new,monospace">   5900/tcp                   ALLOW IN    <a href="http://192.168.0.0/24">192.168.0.0/24</a></font></div>

<div><br></div><div>Où on voit que 192.168.0.1 est devenu 192.168.0.0... Normal?</div><div><br></div><div>Par ailleurs, je peux quand même accéder à l'autre ordinateur quand je n'ouvre pas le port 5900 avec la commande que tu m'as indiquée...</div>

<div><br></div><div>En guise de complément, j'ai utilisé les outils réseau et demandé un scan de ports pour mon ordinateur desktop (avec l'adresse interne 192.168.0..xxx). J'ai obtenu ceci:</div><div><br></div>

<div><font face="courier new,monospace">   22</font><font face="courier new,monospace"> ouvert ssh</font></div><div><font face="courier new,monospace">  139</font><font face="courier new,monospace"> ouvert netbios-ssn</font></div>

<div><font face="courier new,monospace">  445</font><font face="courier new,monospace"> ouvert microsoft-ds</font></div><div><font face="courier new,monospace"> 4713</font><font face="courier new,monospace"> ouvert inconnu</font></div>

<div><font face="courier new,monospace"> 8058</font><font face="courier new,monospace"> ouvert </font><font face="courier new,monospace">inconnu</font></div><div><font face="courier new,monospace">16001</font><font face="courier new,monospace"> ouvert </font><font face="courier new,monospace">inconnu</font></div>

<div><font face="courier new,monospace">17500</font><font face="courier new,monospace"> ouvert </font><font face="courier new,monospace">inconnu</font></div><div><font face="courier new,monospace">36660 ouvert </font><font face="courier new,monospace">inconnu</font></div>

<div><br></div><div>J'imagine que ce sont des ports ouverts pour le réseau local seulement, car un scan de mon IP externe ne me donne que le port suivant:</div><div><br></div><div><font face="courier new,monospace">   53 ouvert domain</font></div>

<div><br></div><div>Et un scan de mon routeur (192.168.0.1) m'indique:</div><div><br></div><div><font face="courier new,monospace">   53 ouvert domain</font></div><div><font face="courier new,monospace">   80 ouvert www</font></div>

<div><br></div><div>Gilbert<br></div><br>