IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Site web sur Raspberry Pi, Est-ce risqué pour le réseau du domicile ?
Options
BigBen
posté 9 Oct 2019, 09:17
Message #1


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 306
Inscrit : 22 Dec 2003
Lieu : Lyon
Membre no 12 717



Bonjour tout le monde ! smile.gif

Ayant abandonné mon hébergement complet chez OVH pour un simple NDD+mail (Infomaniak), je m'intéresse à une solution d'auto-hébergement avec un Raspberry Pi.
L'idée est d'y héberger un simple « site-CV » (Wordpress), à moindre coût (et à moindre impact écologique (?)).

Si j'ai bien compris, il faudrait mettre le Raspberry derrière la box et ouvrir un port pour pouvoir laisser les internautes y accéder depuis le web.

Ma question est donc assez simple (la réponse peut-être moins) : y a-t-il un risque que l'on puisse accéder à mon réseau local (et donc, mon Mac), via le Raspberry (une éventuelle faille du serveur, de WP…), ou est-ce que c'est vraiment cloisonné ?
Go to the top of the page
 
+Quote Post
Jedge
posté 9 Oct 2019, 09:34
Message #2


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 3 900
Inscrit : 13 Dec 2007
Lieu : Annecy
Membre no 102 454



Pour faire court: Du moment que tu ouvre ton réseau la réponse est oui c'est risqué.

Ca veut dire que le firewall doit être blindé, le routage des ports aussi, que le pi soit en permanence à jour à 100% pour l'os et les applis, et pareil pour wordpress.

Mais cela ne te garantira que contre les failles qui ont déja un correctif, et wordpress selon les extensions en place c'est très variable.


--------------------
Mac Mini Core i5 2,5Ghz - 10Go de Ram - W10
MBP 2015 15" Core i7 2,2Ghz - 16Go de Ram - 10.14
Imac G4 Tournesol: 15" 700Mhz & 17" 800Mhz sous Léopard
Iphone 8+ 256Go qui remplace mon vénérable 5c
Go to the top of the page
 
+Quote Post
BigBen
posté 9 Oct 2019, 09:41
Message #3


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 306
Inscrit : 22 Dec 2003
Lieu : Lyon
Membre no 12 717



Merci pour ta réponse.

J'ai bien conscience que le risque zéro n'existe pas en sécurité. Une attaque sur mon site serait embêtante mais pas dramatique, mais je ne veux pas laisser la porte ouverte à une éventuelle intrusion dans mon Mac.
Il n'y a donc pas de moyen de cloisonner les environnements, un peu à la manière des serveurs mutualisés qui empêchent les passerelles entre les différents sites qu'ils hébergent ?
En schématisant : je laisse juste un couloir sans portes jusqu'au Raspberry, en lecture seule.
Go to the top of the page
 
+Quote Post
Jedge
posté 9 Oct 2019, 10:25
Message #4


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 3 900
Inscrit : 13 Dec 2007
Lieu : Annecy
Membre no 102 454



je ne suis pas un spécialiste, mais peut être en créant des vlan pour isoler les éléments public/perso


--------------------
Mac Mini Core i5 2,5Ghz - 10Go de Ram - W10
MBP 2015 15" Core i7 2,2Ghz - 16Go de Ram - 10.14
Imac G4 Tournesol: 15" 700Mhz & 17" 800Mhz sous Léopard
Iphone 8+ 256Go qui remplace mon vénérable 5c
Go to the top of the page
 
+Quote Post
maclinuxG4
posté 9 Oct 2019, 14:48
Message #5


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 551
Inscrit : 28 Dec 2001
Lieu : ile de france
Membre no 1 715



essaye a minima de séparer ton site web rasp et le reste du réseau.

raps est un peu permissif et propriétaire, ce qui n’empêche pas les petit malin de trouver des failles

wink.gif wink.gif


--------------------
hack gigadesign Z170-UD5 TH Skylane i7 6700k + 16 Go dimm + radeon 580 pulse 8192 mo+ 2 x 1 xT + SSD 1 T / 2 T + ethernet + acer XF240H+ macOS Mac OS 10.12.6 Mac OS 10.14.6 + imprimante HP5520 + (port DP / carte HDMI ) + H75 v2 +r5070
 macpro1,1 Dual core 2,66 GHz, 4 Go FB-dimm+ radeon HD 5770 + ST 500 Go + LCD Samsung 710T + Mac OS 10.6.8 + plantronics DSP 500 + Canon S50 + imprimante HP5520 +  ipad mini
► NO WINDOWS BOOT... Only  linux manjaro

--------------------
Go to the top of the page
 
+Quote Post
BigBen
posté 9 Oct 2019, 15:13
Message #6


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 306
Inscrit : 22 Dec 2003
Lieu : Lyon
Membre no 12 717



Selon vous il vaudrait donc mieux éviter d'utiliser un Raspberry Pi pour ce genre d'usage ?
Go to the top of the page
 
+Quote Post
maclinuxG4
posté 9 Oct 2019, 16:04
Message #7


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 551
Inscrit : 28 Dec 2001
Lieu : ile de france
Membre no 1 715



tu tu as le moyen switch ou routeur pour séparer le traffic....


--------------------
hack gigadesign Z170-UD5 TH Skylane i7 6700k + 16 Go dimm + radeon 580 pulse 8192 mo+ 2 x 1 xT + SSD 1 T / 2 T + ethernet + acer XF240H+ macOS Mac OS 10.12.6 Mac OS 10.14.6 + imprimante HP5520 + (port DP / carte HDMI ) + H75 v2 +r5070
 macpro1,1 Dual core 2,66 GHz, 4 Go FB-dimm+ radeon HD 5770 + ST 500 Go + LCD Samsung 710T + Mac OS 10.6.8 + plantronics DSP 500 + Canon S50 + imprimante HP5520 +  ipad mini
► NO WINDOWS BOOT... Only  linux manjaro

--------------------
Go to the top of the page
 
+Quote Post
Polo35230
posté 9 Oct 2019, 18:59
Message #8


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 387
Inscrit : 2 Feb 2011
Membre no 164 276



Citation (BigBen @ 9 Oct 2019, 09:17) *
Ma question est donc assez simple (la réponse peut-être moins) : y a-t-il un risque que l'on puisse accéder à mon réseau local (et donc, mon Mac), via le Raspberry (une éventuelle faille du serveur, de WP…), ou est-ce que c'est vraiment cloisonné ?
Une Box, par défaut, bloque toutes les connexions entrantes (enfin, sauf celles utilisées par l'opérateur pour la gestion de la Box)
Dans une Box, pour autoriser l'accès à une machine de ton LAN (par exemple le Raspberry) à partir d'internet, il y a 2 possibilités:
-Mettre l'adresse IP locale du Rasp en DMZ, mais là, aucune sécurité…
-Renseigner la table NAT/PAT de la box en déclarant l'adresse IP locale du Rasp et les n° de ports applicatifs nécessaires. De cette façon, de l'extérieur, seul le Rasp sera accessible. Le seul truc qui pourrait être dangereux, c'est de mettre un numéro de port d'accès à distance. Dans ce cas, le Rasp serait alors une porte d'entrée pour tout ton réseau local.
Il faudra aussi mettre une IP fixe sur le Rasp.
Il se peut aussi que le port 80 soit utilisé par la Box. Si c'est le cas, il faudra utiliser un autre port. Le 8080 par exemple.

Après, le VPN est aussi une bonne solution si tu peux imposer à toutes les personnes censées se connecter à ton site d'installer le VPN Client qui va bien... Mais il faudra aussi le configurer dans la Box wink.gif


Ce message a été modifié par Polo35230 - 9 Oct 2019, 19:22.
Go to the top of the page
 
+Quote Post
BigBen
posté 10 Oct 2019, 14:57
Message #9


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 306
Inscrit : 22 Dec 2003
Lieu : Lyon
Membre no 12 717



Merci pour ces éclaircissements. smile.gif

Cette 2e méthode est équivalente à celle proposée par maclinuxG4 non ?
Si j'ai bien compris l'installation ressemblera à ça :

Le-vilain-méchant-web-et-ses-attaques

Freebox (sur IP fixe)

Port ouvert (80 ou autre)

Raspberry Pi (sur IP fixe)

Pas de passerelle vers mon réseau (idéalement)


Le tout avec une bonne configuration sur la Freebox et le Raspberry qui bride tout. unsure.gif
Go to the top of the page
 
+Quote Post
bob II
posté 10 Oct 2019, 15:30
Message #10


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 092
Inscrit : 13 Jul 2004
Lieu : 83
Membre no 20 969



Bonjour BigBen,
Je m'interroge, ne serait il pas possible et souhaitable de commencer par sécuriser l'accès à ce site CV pour commencer ?
Par un mot de passe par exemple.
Je m'explique, un site CV en principe c'est ciblé , çà ne s'adresse pas à tout le monde , mais à des employeurs ou à des clients ciblés. Non je me trompe ?
Parce que si c'est ciblé en donnant le mot de passe pour l'accès au site CV juste aux personnes ou entreprises qui doivent y avoir accès
sa limite déjà un peu les risques.
Il y a des années que j'en ai pas fait de site web, mais de ce que je me souviens les moyens d'en sécurisé l'entrée sont nombreux.

Ce message a été modifié par bob II - 10 Oct 2019, 15:34.


--------------------
Macbook Pro 13" mi 2009 2,26 GHz Intel Core 2 Duo 8 Go SSD 128 Go Patch Catalina 10.15 + SSD 240 Go Patch Mojave 10.14.4 et Linux Mint 19.2 Apple TV 4K 2019
Go to the top of the page
 
+Quote Post
BigBen
posté 10 Oct 2019, 15:56
Message #11


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 306
Inscrit : 22 Dec 2003
Lieu : Lyon
Membre no 12 717



En effet, mais la sécurisation d'un site Wordpress je connais un peu, alors que la configuration des ports d'une box et d'un Raspberry Pi pas du tout. smile.gif
Go to the top of the page
 
+Quote Post
Polo35230
posté 10 Oct 2019, 16:06
Message #12


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 387
Inscrit : 2 Feb 2011
Membre no 164 276



Citation (BigBen @ 10 Oct 2019, 14:57) *
Merci pour ces éclaircissements. smile.gif

Si j'ai bien compris l'installation ressemblera à ça :

Le-vilain-méchant-web-et-ses-attaques

Freebox (sur IP fixe)

Port ouvert (80 ou autre)

Raspberry Pi (sur IP fixe)

Pas de passerelle vers mon réseau (idéalement)


Le tout avec une bonne configuration sur la Freebox et le Raspberry qui bride tout. unsure.gif


Oui, c'est ça.
J'ai pas compris ce que tu voulais dire par "Pas de passerelle vers mon réseau (idéalement)"
Go to the top of the page
 
+Quote Post
BigBen
posté 10 Oct 2019, 20:20
Message #13


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 306
Inscrit : 22 Dec 2003
Lieu : Lyon
Membre no 12 717



Je voulais dire j'aimerais qu'il n'y ai aucun moyen pour qu'une personne mal intentionnée accède à mon Mac depuis l'extérieur en passant par le Raspberry ou le port ouvert de la box.

Ce message a été modifié par BigBen - 10 Oct 2019, 20:20.
Go to the top of the page
 
+Quote Post
Polo35230
posté 11 Oct 2019, 07:13
Message #14


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 387
Inscrit : 2 Feb 2011
Membre no 164 276



Citation (BigBen @ 10 Oct 2019, 20:20) *
Je voulais dire j'aimerais qu'il n'y ai aucun moyen pour qu'une personne mal intentionnée accède à mon Mac depuis l'extérieur en passant par le Raspberry ou le port ouvert de la box.

Si dans la box les ports correspondants aux applis de prise de contrôle à distance duRasp (du genre VNC 5900), ou tout ce qui peut passer dans SSH (22) ne sont pas configurés, pas possible de passer du Rasp aux autres machines de ton LAN.
Après, tu peux aussi configurer le firewall du Rasp. Ceinture et bretelles…
Go to the top of the page
 
+Quote Post
BigBen
posté 11 Oct 2019, 19:54
Message #15


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 306
Inscrit : 22 Dec 2003
Lieu : Lyon
Membre no 12 717



Ah, génial ! En voilà une bonne nouvelle smile.gif
Je n'ai plus qu'à potasser tout ça alors...

Merci pour vos conseils !
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 20th October 2019 - 20:32