View  Edit  Attributes  History  Attach  Print  Search

Informations importantes concernant la sécurisation de la GLAP-Box.

GLAPBOX > Procedures

  • La GLAP-Box est un serveur informatique : par conséquent, en tant que telle, elle est exposée au risque potentiel de prise en main de l'extérieur. A ce titre, voici quelques informations utiles pour adapter le niveau de sécurisation à l'usage qui est fait de la GLAP-Box.

D'une manière générale, plus on met en place de sécurisation et cryptage, et plus on ralenti le débit de l'accès au bureau distant. Donc :

  • si c'est la rapidité du retour vidéo qui prime, mettre en place peu de sécurisation logicielle tout en sécurisant physiquement le réseau utilisé (pas de connexion internet par exemple ou réseau wifi dédié),
  • si c'est la sûreté qui prime, accepter un ralentissement de la fluidité du réseau en contre-partie.

La GLAP-Box est peu sécurisée par défaut.

  • Par défaut, le niveau de sécurité de la GLAP-Box est volontairement assez faible afin d'en faciliter la prise en main et parce qu'elle est prévue pour une utilisation ponctuelle sur un réseau dédié peu exposé :
    • Le protocole de communication VNC utilisé pour l'accès au bureau distant de la GLAP-Box n'est pas particulièrement sécurisé, pour ne pas dire assez peu sécurisé. De plus aucun mot de passe n'est nécessaire pour l'accès VNC par défaut.
    • La GLAP-Box est accessible par un réseau wifi non sécurisé par défaut, c'est à dire sans cryptage.
    • Aucune sécurisation n'est utilisée pour tunelliser la connexion sur le réseau.
  • Ce faible niveau de sécurité n'est pas un problème :
    • tant que l'on travaille sur un réseau local dédié réduit et qui n'a pas accès à internet,
    • tant que l'on utilise ce réseau que ponctuellement et dans une ambiance où le risque de "prise en main" extérieure est minime (peu ou pas de postes wifi autour de votre réseau...).
  • On est dans ce cas par exemple lorsqu'on utilise VNC uniquement pour accéder par wifi à son robot mobile. Et dans ce cas, l'absence de cryptage entraîne même une amélioration des performances du réseau.
  • Il en va tout autrement dans le cas d'une application qui utiliserait la GLAP-Box de manière permanente sur un réseau accessible par internet notamment ou en wifi.
  • NB : Si quelqu'un se connecte sur votre réseau wifi, une simple commande sudo nmap avec le numéro de votre réseau vous permettra de le détecter. Voir ici : GLAP-Box : Analyse du réseau local à partir du poste client et obtention de l'adresse IP d'accès de la GLAP-Box (éthernet ou wifi)

La GLAP-Box dispose cependant du niveau de sécurisation habituel d'un poste Ubuntu (Gnu/linux)

  • La GLAP-Box, comme tout poste sous Ubuntu, s'ouvre en session utilisateur à la différence près que la connexion est automatique. Mais cette connexion automatique ne donne pas pour autant tous les droits à l'utilisateur connecté. Ainsi, toutes les actions sensibles telle que la mise à jour, l'installation de nouveau logiciel, etc... nécessiteront de fournir le mot de passe de l'utlisateur. Autrement dit, même si quelqu'un d'extérieur se connecte à votre GLAP-Box, il ne pourra pas pour autant faire ce qu'il veut sans le mot de passe utilisateur.
  • Ce système de droits utilisateurs fait toute la force de Gnu/Linux qui est installé sur plus de 50% des serveurs du Monde. De même, pour les mêmes raisons, les postes sous Gnu/Linux sont réputés ne pas avoir besoin d'anti-virus, ce qui n'empêche pas d'assurer un niveau de sécurisation satisfaisant de sa machine en réseau et du réseau lui-même.
  • On pourra à sa convenance d'ailleurs, créer un compte utilisateur de connexion par défaut personnalisé, avec un mot de passe plus élaboré si on le souhaite. On pourra également élever le niveau des droits accordés sur certains répertoires ou fichiers sensibles si on le souhaite.

Mesures habituelles de sécurisation du réseau local

  • Il est habituel de sécuriser un réseau local au niveau du routeur connecté à internet, en activant le pare-feu et en n'ouvrant que certains ports précis, voire même qu'à certains utilisateurs. D'une manière générale, plus le routeur est "fermé" sur l'extérieur et mieux c'est. La configuration dépend ici de chaque routeur : se reporter à sa documentation au besoin.
  • Il est également possible d'activer le pare-feu (firewall) logiciel sur chaque poste du réseau (sous Ubuntu, sudo ufw enable en ligne de commande) On pourra également ouvrir/fermer les ports sur chaque poste du réseau en fonctions de ses besoins. Faire man ufw en ligne de commande pour plus de détails. Pour plus de détails sur l'utilisation du firewall sous Ubuntu, voir également : http://doc.ubuntu-fr.org/ufw

Mesures spécfiques possibles pour augmenter le niveau de sécurisation de la GLAP-Box :

Pour augmenter le niveau de sécurisation de la GLAP-Box, on peut agir à plusieurs niveaux :

  • Tout d'abord on peut ajouter un mot de passe pour l'accès au bureau distant par VNC : cette simple mesure empêche la prise en main de la GLAP-Box par n'importe qui. La procédure est décrite sur cette page : Configurer un accès "bureau distant" sous wifi entre 2 PC sous Ubuntu. (voir en bas de cette page)
  • Ensuite, on peut utiliser une connexion wifi cryptée par clé WEP plutôt qu'une connexion non cryptée. Cette mesure sécurise la connexion wifi et évite l'intrusion des postes extérieurs sur le réseau wifi. La procédure est décrite ici : GLAP-Box : Mise en place d'une connexion Wifi cryptée
  • Pour assurer un excellent niveau de sécurisation de la connexion au bureau de la GLAP-Box à distance, il est enfin possible de "tunelliser" la connexion d'accès au bureau à distance par VNC à l'aide d'un cryptage SSH à double clé publique et privée. Ce type de sécurisation est réputé pour être quasiment incassable depuis l'extérieur et rend la communication sur le réseau totalement invisible de l'extérieur. La mise en place est cependant un peu plus complexe que les 2 autres mesures qui restent assez simples. La procédure est décrite ici : GLAP-Box : Tunnelliser la connexion VNC par SSH

Conclusion

Ce qu'il faut retenir :

  • si la GLAP-Box n'est utilisée que sur un réseau local dédié non connecté à internet et de façon ponctelle, on peut se contenter du niveau de sécurité par défaut du système qui est assez bas pour des raisons d'optimisation des performances et de simplicité de mise en oeuvre.
  • si la GLAP-Box est mise sur un réseau ouvert à internet, il est important d'augmenter le niveau de sécurisation, voire même de totalement verrouiller la connexion à l'aide d'un cryptage SSH à double clé privée et publique.