Aller au contenu


Photo

Mise en place d'un serveur domestique sécurisé

Reverse-proxy vpn serveur

  • Veuillez vous connecter pour répondre
61 réponses à ce sujet

#1 showtime

showtime

    Petit nouveau

  • Membres
  • Pip
  • 19 messages

Posté 21 November 2011 - 22:33

Bonjour,

fidèle lecteur de Korben depuis pas mal d'année je me suis dit que les réponses à mes questions ne pouvaient être que dans ce repère de geek ! :D

Posons donc le décors :

je rénove actuellement une maison et étant électricien orienté nouvelles technologies j'ai opté pour une installation domotique assez poussée...

Un serveur central sera mis en place afin de permettre l'interaction des différents organes ( caméras IP, carte relais avec serveur WEB, serveur NAS, reseau 1-Wire)

Le logiciel domotique utilisé est Homeseer, le serveur vient d'être monté avec ceci :

- MSI E350IA-E45 - Chipset AMD Brazos Hudson M1 - AMD E350 1.6 GHz - Radeon HD6310
- Mémoire Gskill Ripjaws DDR3 4go
- Disque mémoire SSD 2.5'' OCZ Agility 3 series'' - 120 Go

Le système d'exploitation est obligatoirement windows xp (pour Homeseer)

Le réseau ethernet de la maison sera géré par un switch 32 ou 48ports et cablé en Cat6 ou Cat7 ( pas encore choisi)

L'accès internet se fera par une box classique


Maintenant passons au questions :

le but est de mettre en place un serveur central sécurisé accessible depuis l'extérieur, le problème étant que je possède une ip variable je devrais certainement utiliser une service de redirection ?

Il fait mettre un système afin de sécuriser les accès et de me permettre l'accès au services désirés depuis l'extérieur ( visualisation des caméras IP, accès au NAS, monitoriing de l'installation domotique ( Homeseer est un serveur lui aussi) )

Il faut absolument que ce serveur soit très sécurisé étant donné que la maison peut-être pilotée.

J'aurais peut-être la nécessité d'une base de données dans un futur proche

une piste est je pense le reverse-proxy ? ou un VPN ? je patauge un peu ...

mon serveur sera-t-il assez performant pour les tâches demandées ?

Voilà les grande lignes, je serait content de partager vos idées, si vous connaissez des distributions qui permettent ce genre de choses ( Wamp ? apache?...)


Merci d'avance ! ;)

#2 showtime

showtime

    Petit nouveau

  • Membres
  • Pip
  • 19 messages

Posté 21 November 2011 - 22:34

erreur d'édition

#3 aciD

aciD

    Super Korbenaute

  • Moderateurs
  • 1249 messages

Posté 21 November 2011 - 22:38

Pour l'IP dynamique, tu peux utiliser des services comme No-IP ou Dyndns (ou t'abonner chez Free).

IRC : #Korben @ irc.recycled-irc.net
vpnfr.png
Parrainage vers VPN Tunnel


#4 Trust

Trust

    Super Korbenaute

  • Membres
  • PipPipPip
  • 715 messages

Posté 21 November 2011 - 23:31

Salut,

Après recherche rapides il semble que le plus simple pour l'accès serait d'utiliser PPTP soit en paramétrant le serveur vpn sur ton XP soit en utilisant un routeur avec DDWRT dessus qui ferait office de serveur vpn > http://board.homesee...ad.php?p=800435

Sinon tu fais du RDP mais le PPTP est + secure

Et comme l'a dis l'ami aciD un dyndns pour l'ip ou un abonnement chez free

#5 aciD

aciD

    Super Korbenaute

  • Moderateurs
  • 1249 messages

Posté 22 November 2011 - 00:17

Oué c'est clair pour une infra de ce type il te faut un petit routeur, le routeur de la box ne te suffira pas (trop peu ergonomique en général).
Tu peux regarder les routeurs compatible DDWRT ou Tomato, firmwares qui gèrent nativement le VPN.

IRC : #Korben @ irc.recycled-irc.net
vpnfr.png
Parrainage vers VPN Tunnel


#6 jambon

jambon

    Super Korbenaute

  • Membres
  • PipPipPip
  • 752 messages

Posté 22 November 2011 - 10:48

le but est de mettre en place un serveur central sécurisé accessible depuis l'extérieur, le problème étant que je possède une ip variable je devrais certainement utiliser une service de redirection ?


No-ip.org a une petite application qui met régulièrement a jour ton ip, c'est compatible Windows / Linux

Dyndns.org semble être devenu payant :/



Il fait mettre un système afin de sécuriser les accès et de me permettre l'accès au services désirés depuis l'extérieur ( visualisation des caméras IP, accès au NAS, monitoriing de l'installation domotique ( Homeseer est un serveur lui aussi) )

Il faut absolument que ce serveur soit très sécurisé étant donné que la maison peut-être pilotée.



Une seule NAT sur ta box qui point vers ton serveur pour pouvoir te connecter via OpenVPN. (Windows / Linux )




J'aurais peut-être la nécessité d'une base de données dans un futur proche



Mysql / Postgresql compatible Windows / Linux




une piste est je pense le reverse-proxy ? ou un VPN ? je patauge un peu ...


OpenVpn en serveur ( Windows / Linux )



mon serveur sera-t-il assez performant pour les tâches demandées ?


Largement, a moins que Homeseer pompe 99% du temps machine




Voilà les grande lignes, je serait content de partager vos idées, si vous connaissez des distributions qui permettent ce genre de choses ( Wamp ? apache?...)



N importe laquelle... pourquoi pas Debian.

#7 showtime

showtime

    Petit nouveau

  • Membres
  • Pip
  • 19 messages

Posté 22 November 2011 - 12:17

Bonjour Messieurs,

j'ai du mal à comprendre pourquoi j'aurais le besoin d'un routeur en première ligne ? Peux-tu expliquer ton raisonement ?

J'aimerais tout d'abord bien comprendre la différence entre VPN ou Reverse proxy, je pense que c'est ceci :

VPN : Tunnel sécurisé permettant la liaison entre 2 reseaux locaux distants par le biais d'un reseaux publique (internet)
Reverse proxy : Barriere en front de reseaux qui redirige le flux uniquement vers les applications, et accesoirement réparti la charge reseau ( inutile dans mon cas)

Je pense que l'objectif correspond plutot au reverse proxy

Image IPB

Et un article questions/réponses interessant : http://www.journaldu...rse-proxy.shtml


Sinon en vrac :

No-ip.org a une petite application qui met régulièrement a jour ton ip, c'est compatible Windows / Linux Dyndns.org semble être devenu payant :/ Une seule NAT sur ta box qui point vers ton serveur pour pouvoir te connecter via OpenVPN. (Windows / Linux ) Mysql / Postgresql compatible Windows / Linux OpenVpn en serveur ( Windows / Linux ) Largement, a moins que Homeseer pompe 99% du temps machine N importe laquelle... pourquoi pas Debian.



- Ok pour No-ip

- Tu parle de NAT, je ne connaissais pas ce procédé, mais est-ce sécurisé ?

- Ok ^pour Mysql c'est ce à quoi j'avais pensé et avec lequel je suis le plus habitué

- Pour la charge serveur, en réalite le serveur reprend : Les requetes reseaux venant de l'extérieur, le flux video des caméras IP avec enregistrement lors de detection de mouvement si l'alarme est enclenchée, le flux de données des entrée/sorties digitales/analogiques qui interagissent avec Homeseer ( sondes températures/humidité, interrupteurs, ...) .


Alors si j'ai un bon raisonement, il faudrait une architecture : Internet -> No-ip -> Firewall -> Reverse proxy SSL -> Reseau local

le top serais un spécialiste reseaux qui passe par là car il ne s'agit pas de se planter sur ce coup la.....


En espérant que cette discussion serve à d'autre :)

#8 Trust

Trust

    Super Korbenaute

  • Membres
  • PipPipPip
  • 715 messages

Posté 22 November 2011 - 13:47

Setting Up HomeSeer for Remote Internet Acces

#9 aciD

aciD

    Super Korbenaute

  • Moderateurs
  • 1249 messages

Posté 22 November 2011 - 13:47

Essaye de te renseigner sur les bases du réseau : LAN, WAN, NAT, au moins, (qui sont des concepts simplistes assimilés en 10mn), ça t'aidera à comprendre ce dont on parle et te permettra de prendre les bonnes décisions adaptés à tes besoins réels.

A moins que quelqu'un ne se lance dans un cours magistral ? :P


EDIT : des liens utiles http://www.commentca...nts/initiation/ et http://www.commentca...tents/internet/ ;)

IRC : #Korben @ irc.recycled-irc.net
vpnfr.png
Parrainage vers VPN Tunnel


#10 showtime

showtime

    Petit nouveau

  • Membres
  • Pip
  • 19 messages

Posté 22 November 2011 - 18:56

Merci pour la lecture aciD, même si pour le coup je pense être un peu sous estimé....

Je ne connais pas en profondeur les architectures et technologies réseau et c'est la raison pour laquelle je m'adresse ici mais je connais quand même quelques bases.

Par contre je ne m’étais jamais penché sut le protocole NAT car je n'en ai jamais eu l'utilité.

Pour en revenir au sujet donc, je confirme que la notion de VPN n'est ici pas très utile car elle consiste à créer un tunnel sécurisé sur internet entre 2 réseaux distants. Hors ici le but est d'avoir un accès sécurisé depuis internet vers le réseau lan de façon limitée vers les services nécessaires.

On pourrais très bien comme l'explique l'article posté par Trust simplement rediriger les port voulu via le routeur de la box ( ce que j'aurais pu faire sans venir en discuter ). Cependant, pour une telle situation je ne pense pas que ce soit raisonnable d'un point de vue sécurité. Je ne tiens pas à mettre les données informatique/personnelles de la maison et de ma famille en danger à cause de cela

La raison pour laquelle je cherche quelle est la meilleur solution à mettre en oeuvre pour garantir une sécurité maximale empêchant toute écoute extérieure ou tentative de pénétration dans le réseau... Solution qui n'est pas établie car mes compétences sur les réseaux sont alors dépassées...

#11 Trust

Trust

    Super Korbenaute

  • Membres
  • PipPipPip
  • 715 messages

Posté 22 November 2011 - 19:13

@showtime : je comprend tout à fait ton besoin de sécurité, et je pense que les développeurs de HS y ont aussi pensé, d'après la capture d'écran de l'article en question tu peux te connecter en SSL à ton serveur :
Image IPB

Enable ssl secure server]

#12 showtime

showtime

    Petit nouveau

  • Membres
  • Pip
  • 19 messages

Posté 22 November 2011 - 19:28

En effet Homeseer permet un connections en SSL en natif, par ailleurs la problématique est que tout les éléments connexe du réseau ne le permettent pas forcément eux,d'ou l'idée de mettre un élément en tête d'installation qui ferai office de barrière et de système SSL global.

#13 jambon

jambon

    Super Korbenaute

  • Membres
  • PipPipPip
  • 752 messages

Posté 22 November 2011 - 19:39

Pour le coup j'ai un peu plus confiance en la sécurisation OpenSSH et OpenVPN que celle de HomeSeer.... enfin ça reste subjectif

#14 showtime

showtime

    Petit nouveau

  • Membres
  • Pip
  • 19 messages

Posté 22 November 2011 - 19:45

Je serais moi aussi partant de faire une seule et même barrière SSL que plusieurs modules avec leurs protections respectives comme expliqué dans mon précédent message

#15 jambon

jambon

    Super Korbenaute

  • Membres
  • PipPipPip
  • 752 messages

Posté 22 November 2011 - 20:28

Pour ma part j'ai mon modem/routeur avec le firewall qui bloque tout en entrée SAUF le port 1234. Je renvoi tout ce qui arrive sur le port 1234 vers le serveur OpenSSH (un vieux pc portable) qui tourne sous une Debian.

Je prend un port a la con pour éviter de me faire remplir mes log par des robots, et j'utilise fail2ban pour éviter le bruteforce.

Après quoi quand je veux allez sur une machine spécifique je fait un tunnel SSH.

login@ip_wan -L port_local:ip-machine_cible:port_cible


Exemple pour prendre en main un pc quelconque avec vnc
$ ssh toto@83.82.81.80 -L 5959:192.168.1.30:5900
Je me co avec vnc client sur le 127.0.0.1 sur le port 5959


pour configurer mon routeur
$ ssh toto@83.82.81.80 -L 8080:192.168.1.1:80
dans mon navigateur je tape http://127.0.0.1:8080

#16 Trust

Trust

    Super Korbenaute

  • Membres
  • PipPipPip
  • 715 messages

Posté 22 November 2011 - 21:06

@jambon : ta méthode m'intéresse

-ton routeur est sous ddwrt ?

-le firewall est celui du routeur ou il est situé sur le debian ?

Et je ne comprend pas bien l'étape ou tu te connecte à distance : tu te logues en ssh sur ton WAN puis ton tu re-ssh sur une ip de ton LAN ? mais depuis quoi tu te connectes avec vnc ?

#17 jambon

jambon

    Super Korbenaute

  • Membres
  • PipPipPip
  • 752 messages

Posté 23 November 2011 - 08:15

-ton routeur est sous ddwrt ?

Non non c'est juste un modem/routeur netgear ... je fait pareil avec les livebox et co

-le firewall est celui du routeur ou il est situé sur le debian ?

C'est le routeur qui est en 1er ligne... donc c'est lui qui fait tout le travaile

tu te logues en ssh sur ton WAN puis ton tu re-ssh sur une ip de ton LAN ?

Je fait un tunel ssh a travers internet depuis l'extérieur vers la Debian.

$ ssh toto@83.82.81.80 -p 1234 -L 5959:192.168.1.30:5900
ssh = la commande ssh
toto = login
83.82.81.80 = mon ip wan
-p 1234 = vers le port que mon routeur redirige vars la debian (NAT)
-L = option activer le tunnel
5959 = le port local du tunel
192.168.1.30 = l'ip de la machine ciblé sur mon LAN
5900 = le port d'écoute de vnc sur la machine ciblé


mais depuis quoi tu te connectes avec vnc ?

Avec Vinagre mais ca marche avec n'importe quel client vnc

Pour me connecter a vnc je tape :
$ vinagre 127.0.0.1:5959


PS : C'est possible de faire pareil avec Putty (http://www.putty.org/)

#18 Trust

Trust

    Super Korbenaute

  • Membres
  • PipPipPip
  • 715 messages

Posté 23 November 2011 - 19:19

Merci pour ces précisions jambon, dernière chose :

C'est le routeur qui est en 1er ligne... donc c'est lui qui fait tout le travaile


Je suppose que tu utilises le firewall intégré

Avec Vinagre mais ca marche avec n'importe quel client vnc


C'est là que j'ai du mal : bon tu te connectes depuis une machine A en ssh sur on pc distant en utilisant un tunnel. Ok.

Mais au niveau de vinagre, le fait de le lancer depuis ta console ssh lui indique les bons réglages réseau et lui indique d'utiliser le tunnel ssh c'est ça ?

#19 jambon

jambon

    Super Korbenaute

  • Membres
  • PipPipPip
  • 752 messages

Posté 24 November 2011 - 00:12

Je suppose que tu utilises le firewall intégré

Exate

C'est là que j'ai du mal : bon tu te connectes depuis une machine A en ssh sur on pc distant en utilisant un tunnel. Ok.

Mais au niveau de vinagre, le fait de le lancer depuis ta console ssh lui indique les bons réglages réseau et lui indique d'utiliser le tunnel ssh c'est ça ?

Non non (j'avoue ce n'etais pas clair) je le lance pas depuis ma console ssh .. je le lance depuis un autre terminal local !

#20 grayfox

grayfox

    Petit nouveau

  • Membres
  • Pip
  • 53 messages

Posté 24 November 2011 - 11:10

Salut Showtime suite a ton message je donne mon petit point de vue ;)

Posons donc le décors :

je rénove actuellement une maison et étant électricien orienté nouvelles technologies j'ai opté pour une installation domotique assez poussée...

Un serveur central sera mis en place afin de permettre l'interaction des différents organes ( caméras IP, carte relais avec serveur WEB, serveur NAS, reseau 1-Wire)

Le logiciel domotique utilisé est Homeseer, le serveur vient d'être monté avec ceci :

- MSI E350IA-E45 - Chipset AMD Brazos Hudson M1 - AMD E350 1.6 GHz - Radeon HD6310
- Mémoire Gskill Ripjaws DDR3 4go
- Disque mémoire SSD 2.5'' OCZ Agility 3 series'' - 120 Go

Pour ton serveur un processeur 1.6Ghz même Dual core me parait un-peu Juste même si il a copainGPU pour l'aider a bosser
d’après ce que j'ai pue voir il me semble que c'est un processeur utiliser pour portable....
par securité et pour prévoir de futur extension de ton infrastructure je te conseillerais de passer a du Xeon ou du I7 (i7 bas de gamme si tu n'as pas le budget) ou si tu a le budget attendre les processeur BULDOZER de AMD (16Coeur si mes souvenir sont Bon..)tu pourra te permettre ainssi un peu de virtualisation...
maintenant le disque de 120Go pour un serveur me parait la aussi un-peu limite niveaux stockage et le SSD inutile a moin d'avoir énorme besoin en I/O
un simple Disque RAPTOR de 500Go serait nickel maintenant je ne connais pas les soft utiliser .

Le système d'exploitation est obligatoirement windows xp (pour Homeseer) <virtualize ton XP pour homeseer sur ton serveur ;)

Le réseau ethernet de la maison sera géré par un switch 32 ou 48ports et cablé en Cat6 ou Cat7 ( pas encore choisi)

L'accès internet se fera par une box classique


Maintenant passons au questions :

le but est de mettre en place un serveur central sécurisé accessible depuis l'extérieur, le problème étant que je possède une ip variable je devrais certainement utiliser une service de redirection ? <ou demander une IP statique je ne connais pas tres bien dyndns etc...

Il fait mettre un système afin de sécuriser les accès et de me permettre l'accès au services désirés depuis l'extérieur ( visualisation des caméras IP, accès au NAS, monitoriing de l'installation domotique ( Homeseer est un serveur lui aussi) )pour la securité des acces SSH seront suffisant sinon Go >RSA mai la ces bonbon et il est lui aussi tomber il ya peu de temp....
me permettre l'accès au services désirés depuis l'extérieur =VPN = acces a un reseaux Local en etant a lexterieur de ce Reseaux local. Grosso modo tu peu etre sur le Lan de chez toi en etant au Taf ;)

Il faut absolument que ce serveur soit très sécurisé étant donné que la maison peut-être pilotée.=.Install IPCOP distrib Linux pour administration Reseaux et virtualise TOUT tu limitera les risque.
apres en plus de SSH mettre en place un systeme d'identification et d'authentification.

J'aurais peut-être la nécessité d'une base de données dans un futur proche

une piste est je pense le reverse-proxy ? ou un VPN ? je patauge un peu ... VPN mon Ami!

mon serveur sera-t-il assez performant pour les tâches demandées ? A mon avis NON SSD trop risquer trop rapide trop peu d espace un process qui ne tiendra pas la route pour ces besoin concernant la carte graphique je ni connait strictement rien apart NVIDIA is Powerfull ^^

Voilà Si je me suis Goure Quelque part n'hesiter pas a men faire part.

Et j'espere avoir ete utile.

PS:désole pour l'ortho .