Sécurité serveur web ip

Vous avez réalisé ou vous voulez réaliser un truc impensable avec votre Raspberry Pi ? Cet endroit est pour vous...

Modérateur : Francois

juliendu92
Messages : 4
Enregistré le : ven. 25 sept. 2015 02:49

Sécurité serveur web ip

Message par juliendu92 » ven. 25 sept. 2015 06:06

Bonjour,
je vais acheter un rasberry Pi pour controler mon imprimante 3d ( j'utiliserais octoprint pour les connaisseur), en gros le rasberry fais tourner un serveur local, juste sur ma wifi et sur le serveur il y a une interface qui permet de lancer des impressions a distance, de mettre en pause l'impression, ect.

je voudrais faire de se serveur local un serveur web. J'ai trouve plusieurs tuto pour ca mais je m'inquiete pour la securite. Quelqu'un qui trouve l'addresse du site peu facilement faire prendre feu mon imprimante. Je voudrais donc mettre en place un systeme de securite contre les hackeurs.

Je pensais a n'autoriser l'acces au serveur juste a l'addresse ip de mon telephone et de mon ordinateur a la maison. Mais : - est ce assez puissant pour bloquer les hackeurs?
- Est ce que par exemple si je vais chez un pote et que je connecte mon tel à son wifi, est ce que je dois enregistrer l'IP de mon tel ou celle de la wifi ?

cordialement
julien

domi
Administrateur
Messages : 2733
Enregistré le : mer. 17 sept. 2014 18:12
Localisation : Seine et Marne

Re: Sécurité serveur web ip

Message par domi » ven. 25 sept. 2015 08:02

Bonjour,

Pour ce qui est de ta machine de maison, aucun soucis, tu es dans la boucle local, donc en IP privé.
Pour les accès depuis internet (ou ton téléphone lorsque tu es en 3 ou 4G), c'est une adresse IP public.
Dans un premier temps, tu dois rediriger via ton routeur l'accès internet vers ton IP privé du Raspberry.

Voila pour ce qui est du routage. Pour la sécurité, étant un serveur Web, si tu veux sécuriser, tu dois avoir recours à une authentification.
Tu peux n'autoriser que certaine adresse IP, mais dans le cas ou tu vas chez un pote et que tu te connectes à son Wifi, c'est sont adresse IP qui sera vu, si elle n'est pas renseignée, la connexion sera refusée.
Passionné de Raspberry, Arduino, ESP8266, ESP32, et objets connectés :
Spécial débutant, concevez vous-même votre domotique DIY : https://www.youtube.com/c/DomoticDIY

destroyedlolo
Raspinaute
Messages : 1344
Enregistré le : dim. 10 mai 2015 18:44
Localisation : Dans la campagne à côté d'Annecy
Contact :

Re: Sécurité serveur web ip

Message par destroyedlolo » ven. 25 sept. 2015 10:02

De mon coté :
  • je suis chez Free et ma boite libre est configurée en mode routeur et seul le port 80 est ouvert
  • coté web, j'utilise l'authentification Apache
  • je n'utilise que des framework PHP maison et tous les champs de tous les formulaires sont protégés contre les injections de codes
J'ai eu qq tentatives d'intrusions mais aucune n'a abouti ... ça ne veut pas dire que mon système est sécure, ça veut juste dire que les les hackers potentiels préfèrent s'attaquer à des systèmes dont les fails sont connues (phpbb par exemple), ou des passoires plus répendues (m$) qu'à mon BananaPI sous Gentoo :mrgreen: : question gain de temps !

Maintenant, concernant tes inquiétudes :
  • Heu, c'est quand même moyen moins si ton imprimante 3D peut potentiellement prendre feu non ?
  • si t'as vraiment la trouille, j'utiliserai un système de sandbox : une Framboise en frontale avec un système de validation des raquettes qui envoie des ordres simples et connues (catalogue de services) a une seconde framboise, et seul ce flux est ouvert entre les 2
  • BananaPI : Gentoo, disque SATA de 2 To
  • Domotique : 1-wire, TéléInfo, Tablette passée sous Gentoo, ESP8266
  • Multimedia par DNLA
  • Et pleins d'idées ... et bien sûr, pas assez de temps.
Un descriptif de ma domotique 100% fait maison.

juliendu92
Messages : 4
Enregistré le : ven. 25 sept. 2015 02:49

Re: Sécurité serveur web ip

Message par juliendu92 » ven. 25 sept. 2015 12:58

Alors tout d'abord merci pour vous réponses. Donc je dois retraindre l'accès aux autres IP. Et je vais mettre un mot de passe en plus avec apache.


En faite je comprend pas très bien, les hackers ils font quoi ? Car je comprend bien qu'un hackeur pirate une boutique ou un compte facebook mais à quoi ça lui sert de hacker un serveur quelconque ? Juste foutre la m**** ?
Ça pourrais mètre le feu si il commence à toucher aux boutons.

philippe_PMA
Messages : 13
Enregistré le : lun. 22 sept. 2014 09:42

Re: Sécurité serveur web ip

Message par philippe_PMA » ven. 25 sept. 2015 13:30

Comment va tu restreindre l'IP entrante ?
Si c'est avec iptables, tu peux restreindre l'adresse IP, mais aussi l'adresse MAC (-m mac --mac-source adresse_MAC_source -s adresse_IP_source).

Tu peux aussi installer fail2ban qui bannira temporairement tout ce qui échoue à se connecter plus de n fois, selon la configuration que tu mettras en place, ce qui découragera pas mal de script kiddies.

Si possible éviter l'accès par les ports standards (22 pour ssh, 80 pour http, 443 pour https, etc).
Si c'est un accès Web, obliger à passer en https.
Apache et mot de passe c'est bien mais si c'est pas en https ça sera en clair ...

Y a déjà de quoi t'amuser là :D

philippe_PMA
Messages : 13
Enregistré le : lun. 22 sept. 2014 09:42

Re: Sécurité serveur web ip

Message par philippe_PMA » ven. 25 sept. 2015 13:32

juliendu92 a écrit :...
En faite je comprend pas très bien, les hackers ils font quoi ? Car je comprend bien qu'un hackeur pirate une boutique ou un compte facebook mais à quoi ça lui sert de hacker un serveur quelconque ? Juste foutre la m**** ?
Ça pourrais mètre le feu si il commence à toucher aux boutons.
Par exemple :
- Passerelle de rebon.
- Passerelle de spam.

destroyedlolo
Raspinaute
Messages : 1344
Enregistré le : dim. 10 mai 2015 18:44
Localisation : Dans la campagne à côté d'Annecy
Contact :

Re: Sécurité serveur web ip

Message par destroyedlolo » ven. 25 sept. 2015 17:04

juliendu92 a écrit :En faite je comprend pas très bien, les hackers ils font quoi ? Car je comprend bien qu'un hackeur pirate une boutique ou un compte facebook mais à quoi ça lui sert de hacker un serveur quelconque ?
Ben, les raisons principales :
  • s'en servir de passerelle de SPAM : mise en place d'un mailler en tache de fond pour envoyé du spam sans se faire bannir en utilisant des adresses déjà connues
  • s'en servir de passerelle pour la diffusion de virus
  • Serveur de Deny of Service : une myriade de machines attaque un serveur pour qu'ils ne puissent plus répondre
  • Ferme de backlinks
  • lieu d'échange discrets pour des trucs qui puent (pédo, drogue, ...)
  • pour le fun (ben ouai, c'est important)
  • ...
  • BananaPI : Gentoo, disque SATA de 2 To
  • Domotique : 1-wire, TéléInfo, Tablette passée sous Gentoo, ESP8266
  • Multimedia par DNLA
  • Et pleins d'idées ... et bien sûr, pas assez de temps.
Un descriptif de ma domotique 100% fait maison.

Korhm
Raspinaute
Messages : 232
Enregistré le : ven. 19 sept. 2014 08:13
Localisation : Toulouse

Re: Sécurité serveur web ip

Message par Korhm » ven. 25 sept. 2015 17:47

Bonsoir,

Pour ma part j'ai installé un serveur VPN qui me donne un IP dans le même range que mon LAN, et je limite certaines partie de mon serveur web aux IP de mon LAN.
Ça me semble assez sécurisé, et ça évite de mettre en place une authentification web qui serait demandée même en local.

Avatar du membre
ComteZera
Messages : 40
Enregistré le : dim. 10 mai 2015 18:49
Localisation : BZH (29)

Re: Sécurité serveur web ip

Message par ComteZera » ven. 25 sept. 2015 18:56

Bonsoir,

Pour ma part, je suis sur le port 80.
J'ai protégé mes formulaires contre l'injection de code et les pages qui enverrons des ordres au Raspberry Pi via une base de donnée seront protéger par des fichier .htaccess est-ce suffisant ?

Merci :)

juliendu92
Messages : 4
Enregistré le : ven. 25 sept. 2015 02:49

Re: Sécurité serveur web ip

Message par juliendu92 » sam. 26 sept. 2015 00:58

Ok merci énormément pour votre aide, je vais trouver des tutos par ci par la sur internet pour tout mettre en oeuvre.
Je reviens vers vous si j'ai d'autre problèmes. 8-)

Répondre

Retourner vers « Utilisateurs avancés »