Avis configuration accès web

Forum dédié à l'accès à DomoticZ depuis l'extérieur de chez vous : routage de ports, VPN, VPS ...
La sécurité, c'est important !!
gaston
Messages : 155
Inscription : 16 avr. 2019, 20:30

Avis configuration accès web

Message par gaston »

elo,

Je ne sais pas si c'est le bon endroit mais je me permet de partager ma configuration:

La machine principale est un micro pc Dell avec un I7 de 6eme gen avec 2 cartes reseau, dessus est installé un hyperviseur Proxmox qui me fait tourner une VM Opnsense comme firewall/routeur qui distribue le LAN vers un CT Yunohost, me servant de serveur mail, nextcloud, redirection vers des machines du LAN via un reverse proxy NGINX qui me donne accès à mon domoticz (virtuel aussi, un CT ;) ) par le biais d'un portail d’authentification.
Tous les certificats Let'sEncrypt sont gérés de façon "automatique..." par yunohost via des sous domaine.
J'ai bien sur un accès OpenVPN via la VM Opnsense.
domo.cert.png
domo.cert.png (1.14 Mio) Consulté 1032 fois
J'ai l'impression d'avoir un truc un poil "secure" mais es-ce vraiment le cas ? (tout ce que je viens de citer est sur le même micro pc ;) )
proxmox.png
proxmox.png (320.07 Kio) Consulté 1033 fois
Dites moi quoi ? ;)
Keros
Messages : 6638
Inscription : 23 juil. 2019, 20:57

Re: Avis configuration accès web

Message par Keros »

Je viens de déplacer ton message dans un autre sujet.

Secure ? La réponse n'est pas simple : cela dépend grandement de la configuration de Proxmox. Il te suffit d'une mauvaise config réseau sur une VM et elle est accessible depuis ton "Wan".
Selon moi, la réponse ne peut pas être "Oui c'est sécure". Tu as peut-être un trou dans la raquette quelque part.
Ce n'est pas la peine d'avoir une porte blindée si la fenêtre de la cuisine reste ouverte.

Concernant l'accès depuis le web, tu passes par un tunnel VPN. C'est, selon moi, bien plus sécurisé qu'une redirection de ports.

Le niveau de sécurité est difficile à évaluer : cela dépend des risques que l'on envisage (difficile de penser à tout), ceux que l'on accepte sans oublier que cela nécessite du temps et des connaissances.
Comment bien utiliser le forum : Poser une question, Mettre un script, un fichier, une image ou des logs
Mes petits guides : Débuter en programmation, Le débogage, Le choix de matériel, Les sauvegardes
Ma présentation - Mes Tutos
Flying Domotic
Messages : 772
Inscription : 10 mars 2020, 15:26

Re: Avis configuration accès web

Message par Flying Domotic »

La sécurité en informatique est un domaine compliqué ...

On peut simplifier en expliquant que rien n'est sûr, et qu'avec les failles dans le code, on est à peu près certain que quelqu'un qui a vraiment envoie de rentrer va y arriver ...

Après, ce qu'on peut faire, c'est compliquer les choses pour un attaquant.

Dans ton cas, il semble que tu ais déjà pas mal réfléchi.

Un ajout simple serait de ne n'autoriser les connexions entrantes que depuis un VPN, sans rien changer ensuite à ton architecture.

Ce qui veut dire que pour accéder à ton Domoticz, il faut d'abord craquer ton VPN, puis ton proxy. Ça va prendre plus de temps (donc d'argent pour celui qui t'attaque). Et comme tu ne détiens pas des secrets d'état, il est probable qu'il va aller chercher ailleurs un truc plus simple. Après si tu es une banque, l’appât du gain va certainement faire que ton hacker va continuer ;-)

L'autre intérêt du VPN, est que n'importe n'arriver pas sur ton réseau (donc ton proxy) : il faut une clef valide pour se connecter. On peut le voir comme un inconvénient, puisque le propriétaire ne peut pas se connecter de n'importe quel appareil. Ceci dit, c'est un peu le principe de base : restreindre les possibilités d'accès.

Autre "truc" souvent utilisé : Quand on a une archi modèle "firewall -> serveur en DMZ -> firewall", on utilise 2 marques différentes de FW, pour qu'ils aient des failles différentes.

Dernier point : il peut également être habile de mettre en DMZ un Domoticz "esclave", avec certains dispositifs en lecture seule, qui pointe sur le Domoticz interne. Il y a même un outil pour faire ça : https://github.com/FlyingDomotic/domoti ... ync-plugin
lost
Messages : 1511
Inscription : 12 nov. 2016, 11:01

Re: Avis configuration accès web

Message par lost »

Flying Domotic a écrit : 08 nov. 2025, 13:52 L'autre intérêt du VPN, est que n'importe n'arriver pas sur ton réseau (donc ton proxy) : il faut une clef valide pour se connecter.
Cela a aussi l'inconvénient de son avantage: VPN cassé et c'est tout son réseau interne directement accessible comme si on était branché sur un RJ45 de sa box. Tandis que casser le https de Domoticz, c'est accéder à un webUI... et si on a affaire à qqun de motivé et capable il sera peut-être possible d'aller au delà et d'avoir un shell root sur la machine hôte qui permettra un accès à tout son LAN aussi, mais disons qu'on n'est pas directement rendu!
Flying Domotic
Messages : 772
Inscription : 10 mars 2020, 15:26

Re: Avis configuration accès web

Message par Flying Domotic »

C'est exactement pour ça que je conseille de monter le VPN devant la solution déjà en place :D

Si le VPN lâche, reste encore le proxy ...

Et si en plus, le proxy ne cause qu'à un Domoticz esclave, dans une DMZ, on n'est encore pas sur le LAN ...
Répondre