Sujet: Sécurité du vu+

[burt]

Bonjour, je me pose une question;

Niveau sécurité, avec le port ouvert dans le routeur et l'utilisation du super user "root", ne serait il pas prudent de créer un compte user limité pour l'accès a distance comme le webif et le ftp?

Il y a l'option de blocage accès root dans les options webif

Ca ce fait déjà ou c'est un idée idiote?

[pr2]

Bonjour,

Surtout ne jamais ouvrir son récepteur sat sur le net et surtout pas pour le telnet et le FTP, ni même donné accès à OpenWebif directement!

Si on sait s'en passer c'est mieux, si vraiment on en a besoin (sic) alors il faut mettre en place un tunnel SSH sécurisé.

Pr2

[burt]

J'ai deux utilisations hors réseau locale:

Regarder la tv et les enregistrements préalable.

Programmer les enregistrements avec openwebif.

Je vais chercher comment mettre en place un tunnel ssh alors.

Ca pourrais faire un bon auto, j'imagine que je ne suis pas le seul a utiliser le vu hors locale.

[burt]

Déjà, premier test; de l'extérieur, je ne sais pas entrer dans le vu par ssh...

C'est déjà pas mal

Pour le moment, ca a l'air sécur sans rien faire...

[Doume]

Regarder la TV depuis l'extérieur de ton LAN, tu oublies :
- La bande passante le permet rarement, sauf si tu es en THD ( fibre, par exemple)
- C'est illégal de streamer vers le Web, sans une autorisation express du diffuseur

[burt]

Regarder la TV depuis l'extérieur de ton LAN, tu oublies :
- La bande passante le permet rarement, sauf si tu es en THD ( fibre, par exemple)
- C'est illégal de streamer vers le Web, sans une autorisation express du diffuseur

Effectivement, tu as raison, je n'ai que 5MB en upload....

Par contre ca fonctionne avec mes photos privé, et c'est aussi pour cela que je veux sécuriser un minimum.

Je trouve des solutions via le web, mais pas adapté au vu+
Je me demande si il n'y a pas un plugin pour ca, je vais continuer a chercher.

[MiKe]

Yop,

Voici une solution pour le webif :

  http://www.doume59.net/forum/index.php?topic=6783.0

 

[Danield]

Tu as raison Mike, mais la solution ssh  avec clé privée et publique est relativement simple.
Son vu lui permettra en plus d'accéder à tout ce qu'il veut sur son réseau en activant le protocole socks

[killminusnine]

Salut Burt,

Tout d'abord, il faut être conscient que l'accès au WebIf du VU+ via un tunnel SSH ne permet pas le streaming video car les flux média utilisent des trames UDP. Mais tu peux faire tout le reste (placer des timers, faires des screenshots de l'écran, ...), bref, vraiment tout le reste, sauf peut-être flasher ton STB !

En supposant que tu aies déjà mis en place un mécanisme de type DynDNS ou que tu disposes d'une adresse IP fixe pour pouvoir accéder à ta box depuis Internet, L'accès à ton VU+ via un tunnel SSH peut s'effectuer de la sorte :  il faut que tu disposes d'un équipement qui te serve de sas SSH (typiquement un Raspberry Pi) et que tu le mettes en DMZ de ta box (toutes les connexions depuis Internet sur les ports externes de ta box seront mappés sur les ports de ton sas SSH). Pour une sécurité optimale, seul le port SSH (TCP/22) doit être ouvert sur ton équipement sas SSH. Il te faut également activer le forwarding dans le fichier de configuration de sshd sur l'équipement SSH et ajouter un utilisateur Linux quelconque, disons "sas" !

Imaginons que ta box soit accessible depuis l'extérieur par le nom résolu burt.dyndns.com et que ton VU+ soit installé dans ton réseau local à la maison à l'adresse IP privée 192.168.1.2

Depuis ton ordi distant, genre, quand tu bulles à ton taf   , tu tapes la commande suivante :

Code: [Sélectionner]

ssh -L 1234:192.168.1.2:80 sas@burt.dyndns.com
Ca va t'ouvrir une console de ton équipement sas SSH, tu tapes le mot de passe de l'utilisateur Linux "sas" mais tu la laisses ouverte et connectée et tu ne t'en occupes plus. Un tunnel SSH vient de s'ouvrir entre ton ordi du taf et ton VU+ via ton sas SSH.

Il te suffit alors, sur l'ordi de ton taf de lancer ton navigateur web préféré et de taper l'URL suivante :

Code: [Sélectionner]

http://localhost:1234
Tu verras alors s'afficher le webIf de ton VU+ dans ton navigateur. Le flux http passe en fait par le tunnel chiffré SSH.

Bon, c'est vrai qu'on peut se passer d'un équipement intermédiaire et utiliser le VU+ directement comme sas, mais étant donné qu'on cherche à faire de la sécurité, c'est moyen de mettre son VU+ dans la DMZ, et il faut en plus bloquer l'accès à tous les ports sauf le TCP/22 au niveau de la box.

Par ce principe, on peut accéder potentiellement à tous les équipements de son réseau local (pour des protocoles applicatifs TCP uniquement, sinon, il faut un VPN). Pour cela, il suffit d'ouvrir un tunnel par équipement. C'est par exemple très pratique pour accéder à ses caméras IP sans que celles-ci soient connectées directement à Internet !  

Remarque : Dans le cas où l'on doit accéder à un port cible (dans le cas présent : http donc port 80) inférieur à 1024, on est obligés de remapper localement sur un port supérieur à 1024 (dans l'exemple : port 1234) mais quand le port cible est supérieur à 1024, on a le droit de le remapper sur le même port, ainsi, un Synology (port 5001) peut être remappé de façon bijective : ça donnerait un truc du genre ssh -L 5001:192.168.1.3:5001 sas@burt.dyndns.com et l'URL serait https://localhost:5001