14 réponses à ce sujet

[Twin]

Je dispose actuellement d’un HTPC sous Windows 7 home premium, et j’envisage de le laisser tourner en permanence pour m’en servir comme NAS et y héberger quelques serveurs (en l’occurence un serveur Calibre).

Néanmoins, le fait de le rendre accessible depuis le net m’inquiète un peu et je cherche à savoir ce que je peux faire pour minimiser les risques d’intrusion. Le HTPC est déjà derrière un routeur, mais j’aimerais m’assurer qu’une personne utilisant un faille du serveur ne puisse avoir accès qu’à une partie limitée et identifiée du file system. J’imagine que c’est possible en faisant tourner le serveur sur une VM, ou bien éventuellement avec un user Windows dédié qui n’aurait les droits que sur certains répertoires.

Est-ce que c’est réaliste, efficace ? Qu’est-ce que vous me conseillez comme solution qui ne soit pas trop compliquée à mettre en oeuvre ?

[AcidBen]

Derrière un FW/NAT si ton Windows et les services que tu utilises dessus sont à jour tu n'as ""normalement"" pas de problèmes.
Installe quand même un AV sérieux (ESET ou G-Data par exemple).

Sinon si ton routeur te le permet (ex DD-WRT), tu peux ouvrir les ports quand tu en as besoin depuis l’extérieur (c'est ce que je fais pour chez moi), afin qu'ils ne soient pas accessible 24/7.

[eddy737]

Tu peux faire aussi une DMZ. Je suis chez Orange/France Telecom et leur Livebox permet de le faire directement dans les réglage du routeur, comment ça marche chez les autres je ne sais pas.

[AnA-l]

La dmz, la trop fausse bonne idée

[cben76]

AnA-l, le 30 November 2011 - 16:58, dit :

La dmz, la trop fausse bonne idée

Explique ?

[AnA-l]

Parce que comme c'est expliqué la : http://en.wikipedia....DMZ_(computing)
Le but de la DMZ, c'est de tout rediriger vers une machine qui sera safe, et qui a priori fera un bon gros DENY.
Je suis pas expert en securité, mais l'idée, la, c'est de minimiser l'exposition, pas de la maximiser. Si ya la moindre faille dans son serveur, c'est open bar en DMZ.

[GloP]

DMZ = mauvaise idee. Ouvre port par port, garde ta machine a jour (et pas que Windows si tu fais tourner d'autre services exposes, les app tierces aussi) et fout un anti virus (celui de MS marche tres bien), et boum, t'auras aucun probleme.

[Lelolo]

Surtout que le mec qui conseille ça, c'est son premier message...
Encore un rigolo !

[kaneloon]

Ouep, ouvre port par port sur des services safes. Après c'est peut être idiot, mais changer les ports par défaut des services doit pouvoir aider (genre foutre l'accès http sur un port random).

Modifié par kaneloon, 30 November 2011 - 20:27.

[cben76]

oki, merci pour les explications. C'est ce que j'ai fais chez moi, port par port, et ca marche bien

[Twin]

Je compte bien n'ouvrir que le port concerné par mon serveur (mais 24/24, je n'ai pas de plage horaire précise d'utilisation).

Mais je n'ai aucun moyen de savoir si le serveur que je vais installer sera robuste ou pas. Du coup je me demandais si il n'y avait pas moyen, en le lançant avec un user particulier, de ne lui autoriser que certains répertoire en écriture...

[AnA-l]

Sisi, c'est largement possible, ca se configure au niveau de IIS ca les droits et tout, c'est fait pour

[AcidBen]

HS qui peut être intéressant dans ton cas, regarde du coté de Secunia Psipour voir si les softs/services que tu utilises sont vulnérables ou pas.

[GloP]

Twin, le 30 November 2011 - 21:49, dit :

Je compte bien n'ouvrir que le port concerné par mon serveur (mais 24/24, je n'ai pas de plage horaire précise d'utilisation).

Mais je n'ai aucun moyen de savoir si le serveur que je vais installer sera robuste ou pas. Du coup je me demandais si il n'y avait pas moyen, en le lançant avec un user particulier, de ne lui autoriser que certains répertoire en écriture...

Par defaut aucun service ne tourne avec les droits systeme *et* tu peux configurer des droits plus granulaires avec IIS comme dit plus haut. Mais meme sans chercher trop loin SYSTEM\NETWORK_SERVICE c'est fait pour.

[Twin]

Merci pour les infos, je regarde tous ça ce soir.

Par contre mon serveur n'est pas IIS.

Modifié par Twin, 01 December 2011 - 10:12.