e111111 a écrit : 19 juin 2019, 12:26
Je ne dis pas que mon système est blindé, c'est peut être par là que ça pêche, je n'ai jamais réussi à faire fonctionner le HTTPS, toujours eu des messages d'erreur, à part cela j'ai des redirections de ports dans mon routeur.
Je suis en V4.97 , peut-être pas la dernière, mais sur Syno on à pas toutes les versions à disposition immédiatement.
Il peut y avoir des message d'erreurs liés au certificat autosigné de base... Mais il suffit de se connecter de son réseau local une fois avec chaque appareil que l'on vet ensuite utiliser de l'extérieur et d'accepter ce certificat pour ne plus avoir de message et conserver une sécurité correcte.
Niveau réglages->paramètres, mettre un couple identifiant/mot de passe non trivial et n'autoriser la connexion libre que sur la plage d'adresse de son réseau local (+localhost, histoire de ne pas s'emmerder avec l'authentification pour les scripts tournant sur la machine même et utilisant l'API HTTP/Json de Domoticz), c'est en tout cas le minimum.
Si du SSH est utilisé, éviter de rester sur les utilisateurs par défaut archi-connus (pi sur un raspberry etc...), ce qui évite déjà de voir une partie du doublet de connexion facile à trouver et permet de se concentrer sur des tentatives visant le mot de passe...
Cela ne préserve pas de tout, mais tant qu'il suffira de se baisser pour trouver des systèmes ouverts à tous vents cela a quand même des chances de tomber sur d'autres!
Et avec shodan, il suffit vraiment de se baisser pour trouver des RDP/VNC (il peut être rigolo de s'y connecter, voir qqun en train de travailler sur la machine, bouger la souris ou taper "hello" dans son traitement de texte... et imaginer la tête de l'utilisateur, en espérant que cela fasse tilt), HTTP de caméras ou autres... ouverts à tous vents.
Quand on a un SSH qui n'est pas derrière un port-knocker et attaqué en permanence, un coup de nmap sur les machines qui font du brute-force permet de voir en général du RDP/VNC (bureaux à distance) ouverts probablement par leur utilisateurs sans conscience de le faire sur le monde. Permettant à d'autres d'utiliser ces machines en relais de leurs attaques.
Le problème, c'est que le jour ou cela tape une infra critique ou de la propagande terroriste ou autre, cela semble venr de chez toi et avec une expérience sympathique à la clef: Les amis du petit déjeuner à 6h00 du matin pour perquisition!