internet & fixe protéger mes données et mon accès internet

Accès réseau local depuis la DMZ

Highlighted
contributeur
395  

Accès réseau local depuis la DMZ

Bonjour,

J'ai ajouté un raspberry en DMZ sur ma livebox 5. Cet ajout rend mon raspberry accessible depuis l'extérieur, de ce côté là, tout fonctionne bien.

Le problème que je rencontre c'est que les accès depuis le raspberry (en DMZ) vers mes autres équipements de mon réseau local sont toujours autorisés ! Ces connexions devraient être bloquées comme indiqué sur la page :

https://assistancepro.orange.fr/internet_livebox_pro/livebox/installer_et_utiliser/piloter_et_instal...

"Le pare-feu de votre Livebox bloquera donc les accès au réseau local pour garantir la sécurité de vos données. Les services susceptibles d'être piratés depuis Internet sont eux situés dans la DMZ. En cas de piratage d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non aux données du réseau local."

Comment corriger ce problème ?

Merci

 


Solutions approuvées
Highlighted
#TopMembre
331  

Re: Accès réseau local depuis la DMZ


@azertylive  a écrit :

.... En cas de piratage de mon Pi en DMZ, le pirate aura accès à tout le réseau local par rebond ! 

Pour moi ce fonctionnement, c'est juste un NAT de tous les ports vers mon Pi...


 

 

Affirmatif !

 

Si tu veux protéger ton LAN des accès depuis la DMZ tu dois la protéger les machines soit pat le pare feu du Py (voir iptables  ou équivalent) soit en plaçant les machines à protéger derriere une autre passerelle dédiée (un routeur de plus) et en ne mettant aucune route statique du py vers ce réseau.

 

D'où la fin de ma réponse précédente. J'avais bien vu le problème.

 

Cordialement

PhilDur

Faites confiance aux produits libres : Firefox, Thunderbird, LibreOffice, Irfanview, VLC, 7-zip, FileZilla
Votre machine vous en remerciera

Voir la solution dans l'envoi d'origine

4 RÉPONSES 4
Highlighted
#TopMembre
353  

Re: Accès réseau local depuis la DMZ

Bonjour

 

 


@azertylive  a écrit :

Bonjour,

J'ai ajouté un raspberry en DMZ sur ma livebox 5. Cet ajout rend mon raspberry accessible depuis l'extérieur, de ce côté là, tout fonctionne bien.

Le problème que je rencontre c'est que les accès depuis le raspberry (en DMZ) vers mes autres équipements de mon réseau local sont toujours autorisés ! Ces connexions devraient être bloquées comme indiqué sur la page :

https://assistancepro.orange.fr/internet_livebox_pro/livebox/installer_et_utiliser/piloter_et_instal...

"Le pare-feu de votre Livebox bloquera donc les accès au réseau local pour garantir la sécurité de vos données. Les services susceptibles d'être piratés depuis Internet sont eux situés dans la DMZ. En cas de piratage d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non aux données du réseau local."

Comment corriger ce problème ?

Merci

 


 

 

La phrase citée "Le pare-feu de votre Livebox bloquera donc les accès au réseau local pour garantir la sécurité de vos données. Les services susceptibles d'être piratés depuis Internet sont eux situés dans la DMZ. En cas de piratage d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non aux données du réseau local." décrit bien le fonctionnement de la DMZ ..... pour les connexions venant d'Internet

 

 

La Livebox est un routeur.

 

Si tu as tout un tas de machines  (ou une seule) qui devraient être accédées depuis Internet, et qui répondent à tout un tas de ports différents la DMZ est faite pour prendre en compte  un routeur dont l'adresse sera déclarée DMZ.

Elle passera "toutes les connexions entrantes" au routeur qui gérera alors ces demandes entrantes.

En général ce routeur est aussi un pare-feu.

 

Ça permet d'installer chez soi des machines et d'ouvrir l'accès à ces machine et rien que ces machines.

En agissant ainsi un client protégerait totalement son(ses) pC, son NAS son Imprimante de tout accès  e x t e r n e .

 

Tu n'as qu'une machine, le Py, tu n'as pas besoin du routeur additionnel.

Tu l'as déclarée en DMZ, donc si la box reçoit une demande venant d'internet, elle ne l'analysera pas et la transmettra au Py sans intervenir.

C'est ça qui protège les autres machines connectées à ta Livebox  (ça les protège des accès extérieur).

 

Le Py et ton PC sont sur le même LAN, le réseau 192.168.1.0/24 par défaut,  ils communiquent sans utiliser la fonction routeur de la Livebox.

Aucune connexion entre le Py et une des machine du LAN ne pourra être filtrée par ta box.

 

Pour protéger tes machines une solution simple (mais couteuse) serait de placer un routeur  en 192.168.1.150 devant tes machines. On supposera que tes machines seront alors dans le LAN 192.168.2.0/24

Tant que le Py ne comporte aucune route statique ajoutée, il utilisera toujours la box comme passerelle par défaut.

Il ne pourra communiquer qu'avec la box (et donc Internet).

 

Pour que le Py ait accès à la machine 192.168.2.20  et uniquement elle (derrière le routeur ajouté),  il faudrait ajouter une route statique par  la commande :

route add    192.168.2.20 netmask 255.255.255.255     192.168.1.150

En vert la cible à atteindre,    en bleu la passerelle à utiliser

 

Pour que le Py ait accès aux machines 192.168.2.1 à 192.168.2.31, il faudrait ajouter une route statique par    

route add    192.168.2.0 netmask 255.255.224      192.168.1.150

 

Le filtrage s'effectue en gérant l'adresse et le masque cible

La valeur décimale 224 est  E0 en hexadécimal et représente le masque binaire '11100000'

Toutes les adresses 192.168.0.x avec x qui tient sur 5 bits sont sélectionnées

 

 

Dans ton cas le Py et les autres machines sur le même réseau, c'est possible .... mais pas trivial.

Il te suffirait de configurer dans le Py des règles pour son pare-feu

Regarde la commande iptables 

Tu comprendras très vite la complexité du problème, bon courage !

 

 

Nota Bene :

Je ne sais pas comment tu as dégoté ton lien, mais il est aujourd'hui périmé et il correspond à l'utilisation de "Livebox Pro". Globalement il reste valable, mais les "Livebox" ne disposent pas de la même taille mémoire et du même firmware que les "Livebox Pro".

 

Quand un moteur de recherche un article, vérifie toujours sa validité dans le temps, beaucoup des papiers trouvés sont périmés, et dans l'objet  vérifie s'il s'applique à ta version de matériel et/ou de logiciel.

 

 

 

Cordialement

PhilDur

Faites confiance aux produits libres : Firefox, Thunderbird, LibreOffice, Irfanview, VLC, 7-zip, FileZilla
Votre machine vous en remerciera
Highlighted
contributeur
336  

Re: Accès réseau local depuis la DMZ

Bonjour et merci pour ta réponse complète.

Je suis désolé de revenir sur la phrase "En cas de piratage d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non aux données du réseau local." mais ça décrit bien le fonctionnement d'une DMZ comme je la connais. Par contre, le fonctionnement proposé par la livebox ne correspond pas à ça. En cas de piratage de mon Pi en DMZ, le pirate aura accès à tout le réseau local par rebond ! 

Pour moi ce fonctionnement, c'est juste un NAT de tous les ports vers mon Pi...

Highlighted
#TopMembre
332  

Re: Accès réseau local depuis la DMZ


@azertylive  a écrit :

.... En cas de piratage de mon Pi en DMZ, le pirate aura accès à tout le réseau local par rebond ! 

Pour moi ce fonctionnement, c'est juste un NAT de tous les ports vers mon Pi...


 

 

Affirmatif !

 

Si tu veux protéger ton LAN des accès depuis la DMZ tu dois la protéger les machines soit pat le pare feu du Py (voir iptables  ou équivalent) soit en plaçant les machines à protéger derriere une autre passerelle dédiée (un routeur de plus) et en ne mettant aucune route statique du py vers ce réseau.

 

D'où la fin de ma réponse précédente. J'avais bien vu le problème.

 

Cordialement

PhilDur

Faites confiance aux produits libres : Firefox, Thunderbird, LibreOffice, Irfanview, VLC, 7-zip, FileZilla
Votre machine vous en remerciera

Voir la solution dans l'envoi d'origine

Highlighted
contributeur
310  

Re: Accès réseau local depuis la DMZ

On est d'accord 

Je vais voir comment sécuriser ça au mieux.

Merci

Recherchez dans la Communauté

Vous avez une question ?

Créer un sujet

Déjà 612148 membres inscrits 🧡

3328 personnes actuellement en ligne

Tous les membres en ligne