Auteur Sujet: Sécurité du vu+  (Lu 5600 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne burt

  • Membre Junior
  • **
  • Messages: 53
Sécurité du vu+
« le: 08 mars 2016 à 15:56:55 »
Bonjour, je me pose une question;

Niveau sécurité, avec le port ouvert dans le routeur et l'utilisation du super user "root", ne serait il pas prudent de créer un compte user limité pour l'accès a distance comme le webif et le ftp?

Il y a l'option de blocage accès root dans les options webif

Ca ce fait déjà ou c'est un idée idiote? ???
Vu+ solo2 et maintenant Vu+ solo4k avec un tuner enfichable double DVB S2 avec 3 cables.

Hors ligne pr2

  • Modérateur
  • Membre Héroïque
  • *****
  • Messages: 1.781
Re: Sécurité du vu+
« Réponse #1 le: 08 mars 2016 à 16:27:31 »
Bonjour,

Surtout ne jamais ouvrir son récepteur sat sur le net et surtout pas pour le telnet et le FTP, ni même donné accès à OpenWebif directement!

Si on sait s'en passer c'est mieux, si vraiment on en a besoin (sic) alors il faut mettre en place un tunnel SSH sécurisé.

Pr2
VU+ Solo 4K: Astra 19.2E - Hotbird 13.0E - Eutelsat5A 5.0W + 2 * DVB-C/T/T2
Octagon SF-4008: 2*DVB-S2 + DVB-C
Zgemma H5C & H7C

Hors ligne burt

  • Membre Junior
  • **
  • Messages: 53
Re: Sécurité du vu+
« Réponse #2 le: 08 mars 2016 à 16:31:46 »
J'ai deux utilisations hors réseau locale:

Regarder la tv et les enregistrements préalable.

Programmer les enregistrements avec openwebif.

Je vais chercher comment mettre en place un tunnel ssh alors.

Ca pourrais faire un bon auto, j'imagine que je ne suis pas le seul a utiliser le vu hors locale.
Vu+ solo2 et maintenant Vu+ solo4k avec un tuner enfichable double DVB S2 avec 3 cables.

Hors ligne burt

  • Membre Junior
  • **
  • Messages: 53
Re: Sécurité du vu+
« Réponse #3 le: 08 mars 2016 à 16:40:41 »
Déjà, premier test; de l'extérieur, je ne sais pas entrer dans le vu par ssh...

C'est déjà pas mal 8)

Pour le moment, ca a l'air sécur sans rien faire...
Vu+ solo2 et maintenant Vu+ solo4k avec un tuner enfichable double DVB S2 avec 3 cables.

Hors ligne Doume

  • The Boss
  • Administrateur
  • Membre Héroïque
  • *****
  • Messages: 6.185
  • Administrateur
    • Doume
Re: Sécurité du vu+
« Réponse #4 le: 08 mars 2016 à 17:24:51 »
Regarder la TV depuis l'extérieur de ton LAN, tu oublies :
- La bande passante le permet rarement, sauf si tu es en THD ( fibre, par exemple)
- C'est illégal de streamer vers le Web, sans une autorisation express du diffuseur

J'ai tous les droits, je suis chez moi.
Au moindre non-respect des règles, je vire les importuns.

Hors ligne burt

  • Membre Junior
  • **
  • Messages: 53
Re: Sécurité du vu+
« Réponse #5 le: 08 mars 2016 à 17:29:30 »
Regarder la TV depuis l'extérieur de ton LAN, tu oublies :
- La bande passante le permet rarement, sauf si tu es en THD ( fibre, par exemple)
- C'est illégal de streamer vers le Web, sans une autorisation express du diffuseur



Effectivement, tu as raison, je n'ai que 5MB en upload....

Par contre ca fonctionne avec mes photos privé, et c'est aussi pour cela que je veux sécuriser un minimum.

Je trouve des solutions via le web, mais pas adapté au vu+
Je me demande si il n'y a pas un plugin pour ca, je vais continuer a chercher.
Vu+ solo2 et maintenant Vu+ solo4k avec un tuner enfichable double DVB S2 avec 3 cables.

Hors ligne MiKe

  • Administrateur
  • Membre Héroïque
  • *****
  • Messages: 5.895
    • Doume Forum
Re: Sécurité du vu+
« Réponse #6 le: 08 mars 2016 à 20:31:07 »
Yop,

Voici une solution pour le webif :

 => http://www.doume59.net/forum/index.php?topic=6783.0

 ;)
DM8000 HD PVR - HDD Western Digital Caviar Green 1 To - Graveur DVD LiteOn -
VU+ Duo - Solo2 -
iTGate TGS100 - TGS200 - TGS210 -
ET 5000 -
Plasma Pioneer Kuro PdP - LX5090H !

Hors ligne Danield

  • Administrateur
  • Membre Héroïque
  • *****
  • Messages: 3.947
Re: Sécurité du vu+
« Réponse #7 le: 10 mars 2016 à 00:16:58 »
Tu as raison Mike, mais la solution ssh  avec clé privée et publique est relativement simple.
Son vu lui permettra en plus d'accéder à tout ce qu'il veut sur son réseau en activant le protocole socks
Dreambox: 8000
VU+: ultimo, uno, Duo2
Reelbox : Avant-garde
Plasma Pioneer Kuro LX 5090 H
Wave frontier: 6 sats
Visiosat: 4 sats

Hors ligne killminusnine

  • V.I.P.
  • Membre Complet
  • ****
  • Messages: 151
Re: Sécurité du vu+
« Réponse #8 le: 08 avril 2016 à 17:10:40 »
Salut Burt,

Tout d'abord, il faut être conscient que l'accès au WebIf du VU+ via un tunnel SSH ne permet pas le streaming video car les flux média utilisent des trames UDP. Mais tu peux faire tout le reste (placer des timers, faires des screenshots de l'écran, ...), bref, vraiment tout le reste, sauf peut-être flasher ton STB !

En supposant que tu aies déjà mis en place un mécanisme de type DynDNS ou que tu disposes d'une adresse IP fixe pour pouvoir accéder à ta box depuis Internet, L'accès à ton VU+ via un tunnel SSH peut s'effectuer de la sorte :  il faut que tu disposes d'un équipement qui te serve de sas SSH (typiquement un Raspberry Pi) et que tu le mettes en DMZ de ta box (toutes les connexions depuis Internet sur les ports externes de ta box seront mappés sur les ports de ton sas SSH). Pour une sécurité optimale, seul le port SSH (TCP/22) doit être ouvert sur ton équipement sas SSH. Il te faut également activer le forwarding dans le fichier de configuration de sshd sur l'équipement SSH et ajouter un utilisateur Linux quelconque, disons "sas" !

Imaginons que ta box soit accessible depuis l'extérieur par le nom résolu burt.dyndns.com et que ton VU+ soit installé dans ton réseau local à la maison à l'adresse IP privée 192.168.1.2

Depuis ton ordi distant, genre, quand tu bulles à ton taf  ;D , tu tapes la commande suivante :
ssh -L 1234:192.168.1.2:80 sas@burt.dyndns.com
Ca va t'ouvrir une console de ton équipement sas SSH, tu tapes le mot de passe de l'utilisateur Linux "sas" mais tu la laisses ouverte et connectée et tu ne t'en occupes plus. Un tunnel SSH vient de s'ouvrir entre ton ordi du taf et ton VU+ via ton sas SSH.

Il te suffit alors, sur l'ordi de ton taf de lancer ton navigateur web préféré et de taper l'URL suivante :
http://localhost:1234
Tu verras alors s'afficher le webIf de ton VU+ dans ton navigateur. Le flux http passe en fait par le tunnel chiffré SSH.

Bon, c'est vrai qu'on peut se passer d'un équipement intermédiaire et utiliser le VU+ directement comme sas, mais étant donné qu'on cherche à faire de la sécurité, c'est moyen de mettre son VU+ dans la DMZ, et il faut en plus bloquer l'accès à tous les ports sauf le TCP/22 au niveau de la box.

Par ce principe, on peut accéder potentiellement à tous les équipements de son réseau local (pour des protocoles applicatifs TCP uniquement, sinon, il faut un VPN). Pour cela, il suffit d'ouvrir un tunnel par équipement. C'est par exemple très pratique pour accéder à ses caméras IP sans que celles-ci soient connectées directement à Internet !  ;)

Remarque : Dans le cas où l'on doit accéder à un port cible (dans le cas présent : http donc port 80) inférieur à 1024, on est obligés de remapper localement sur un port supérieur à 1024 (dans l'exemple : port 1234) mais quand le port cible est supérieur à 1024, on a le droit de le remapper sur le même port, ainsi, un Synology (port 5001) peut être remappé de façon bijective : ça donnerait un truc du genre ssh -L 5001:192.168.1.3:5001 sas@burt.dyndns.com et l'URL serait https://localhost:5001
VU+ Ultimo 4K 1To DVB-T2 dual + DVB-S2 FBC dual
VU+ Duo2 1.5To 2xDVB-T2

Dish Visiosat Dual LNB Quad Hotbird/Astra et TNT "Pic de Nore"
Plein d'AndroidTV
Synology DS220+ (32To+tuner)
TV 3D Samsung UE55C7700 + Home Cinema 3D Samsung HT-C6930W