Securisation des ports

Salut
Alors il faut relativiser ce site : il te dit ce qui est ouvert. Si ce sont les ports de ton nas... bah c'est normal quoi si t'as d'autres trucs la creuses en effet. Mais avoir le 80, 8080, 443 ouvert ce n'est pas un soucis en soit du moment que c'est voulu et maitrisé. Concernant le 1723, si je ne m'abuse, c'est le vpn pptp. Si tu peux passer en OpenVPN c'est mieux, c'est plus moderne et sûr, mais bon la aussi c'est pas un soucis.

Maintenant ce que tu peux faire de très simple aussi si tu veux pas être sur les ports "standards", c'est faire un routage de ports : en entrée sur ta box tu ouvres par exemple le 4242 (au pif) et tu le rediriges vers le 443 de ton nas : tada t'es plus visible sur le 443 de l'extérieur, et ton nas lui t'as rien touché. Tu peux changer le nas aussi les régalges au cas par cas, mais la c'est le plus rapide.

Par contre bah... ça sert pas des masses : ça ne te protège pas mieux, dans le meilleur des cas, les scripts bidons seront paumés mais guère plus, le port est toujours ouvert et souvent un attaquant sait en 2s ce qu'il fait. Donc c'est toi qui voit. La sécurité va se trouver ailleurs (minimum de "surface" avec un nombre minimum de services et ports exposés, versions à jour, https imposé, bannir sur échecs, bons passwords, double authentification, contrôle strict des droits de comptes, alertes en cas d'échecs, déjà t'es pas mal)

Tu fermes tes port sur ta box sauf le VPN et tu aura accès à tout depuis ton VPN qui lui est considéré comme une machine de ton réseau local.

Oui enfin pour accéder à n'importe quoi de son nas (fichiers, admin, synchro calendriers, ect...) il te faut être en VPN. De plus tu ne peux rien partager avec d'autres gens (donner des accès au nas, envoyer un fichier partagé, ect ...). Si c'est possible c'est très bien mais c'est assez radical
Par contre à mi-chemin, si t'as des choses (genre rsync) que tu sais que 1 seule personne s'en sert, tu peux restreindre l'ouverture du port de ce service sur la box à l'adresse IP de la personne (à condition qu'elle soit fixe). Ainsi les services comme http://iotscanner.bullguard.com/search et les autres connexions ne le verront pas ouverts.

hello,

je m'incruste sur le sujet car il m'intéresse.

j'ai un volume sur mon NAS pour stocker tout ce qui est perso (il est en réseau local) et je souhaite aussi télécharger de temps en temps des torrents.

Seulement je ne suis pas toujours sûr de ce que je télécharge avant de l'avoir complètement analysé et ouvert.
pensez-vous que créer un nouveau volume dédié aux téléchargement avec création d'un utilisateur dédié soit une bonne solution pour limiter la casse en cas de virus ou hack?
De là, je devrais aussi ouvrir un autre port ouvert sur le net(je vais utiliser QTransmission pour télécharger) pour ce volume.

cela vous semble-t-il correcte?
mes données persos seront-elles plus en sécurité avec cette architecture?

merci pour vos lumières :idea:

Transmission n'a pas besoin de port ouvert sur ta box pour le téléchargement, cela peut aider uniquement pour l'upload (seed) quand au dossier dédié, transmission en crée un par défaut qui se nomme download de mémoire tu peux donc faire une routine pour faire une analyse anti-virus dessus.

Télécharger des torrent n'est pas spécialement risqué si on sait d’où provient le torrent, par exemple un torrent qui provient de site connu genre T41* ou torrent*.biz tu aura peu de problème, le souci sont en général généré par les publicité provenant de ces site et qui se règle avec un bon add-blocker.

J'utilise mon NAS pour télécharger 24h/24 et je n'ai jamais eu de souci, tout cela couplé avec mon media-center qui se fait vieillissant mais bon j'en suis content .

* modifications modérateur