Sécurité défaillante dans mon petit réseau

illustration2006122911.jpgOn ne le répétera jamais assez, nos données constituent notre principal actif informatique; elles sont irremplaçables. Voilà pourquoi, en tout temps, il faut pouvoir préserver leur intégrité en les sauvegardant sur des supports physiques distincts, éloignés et simples à manipuler. C’est ce qu’on appelle familièrement se faire des back-ups. Personnellement, pour avoir beaucoup souffert par le le passé, je m’en remets à une combinaison de moyens (la ceinture, les bretelles et les grosses épingles à couche…) dont l’utilisation des deux disques réseau (NAS) que vous apercevez sur la photo, à côté de la vieille machine à écrire.


Mon réseau local est ultra simple; il n’a pas de serveur. Toutes mes machines câblées (RJ-45) aboutissent à un concentrateur lequel est branché à un routeur. Mes machines WiFi, elles, parlent directement au routeur. Ça se nomme un réseau Microsoft point à point. Ainsi, pour pouvoir communiquer avec un disque réseau à partir d’une machine Windows, il faut s’identifier, i.e. taper son nom et son mot de passe. Ma blonde et moi archivons régulièrement nos données de cette façon à partir de nos ordis personnels. Bravo pour nous !

Ce qui est amusant, c’est d’essayer d’en faire autant à partir des autres machines du réseau. Si vous observez les quatre prises d’écran qui suivent, vous allez probablement sourire. Vous allez constater que mon ThinkPad (prise un) et mon poste Windows Vista (prise deux) n’arrivent pas à communiquer avec mes disques réseau. Effectivement, ils n’ont pas été configurés à cet effet. On est quand même dans un environnement Windows et les choses se font généralement de façon ordonnées. Dans le cas du ThinkPad, j’ai une fenêtre d’identification idiote qui tourne en rond. Quoi que j’y tape, elle recommence. Dans le cas de Vista, j’obtiens un message définitif: rien à faire !

Par contre, si vous portez attention aux deux autres illustrations, vous allez constater que ma boite Linux (prise trois) et mon Mac (prise quatre), des ordis qui n’ont jamais de leur vie eu à communiquer avec mes deux disques réseau, le font ce matin en deux clics trois mouvements. Comme s’il n’y avait aucune sécurité Windows. Toutes deux ne me demandent aucun mot de passe et filent directement dans le disque réseau, même si le processus de connexion est en apparence un peu erratique dans le cas du Mac. Vous avez comme preuve les vignettes de mes photos de famille enfouies dans le disque réseau.

illustration2006122912.jpg
illustration2006122913.jpg
illustration2006122914.jpg
illustration2006122915.jpg

Ce qui signifie que si vous êtes configuré comme moi, je peux arriver chez vous avec un ordi portatif (Mac ou Linux), me brancher par WiFi à votre routeur et accéder à vos disques réseau futilement protégés.

Mais peut-être, encore une fois, ai-je merdé quelque part…


Publicités

37 réflexions sur “Sécurité défaillante dans mon petit réseau

  1. Si tu cherches des réponses qui permettent d’expliquer cette situation. on a besoin de plus d’informations sur ton réseau.

    ce serait utile de connaître la configuration réseau de chaque machine. ici on rentre dans un domaine qui varie selon les réseaux de chaqu’un (plusieurs paramètres peuvent avoir un impact sur les accès).

    Premièrement quel est le OS utilisé pour tes 2 disques réseau et la configuration utilisé pour le partage de cette resource?

    Au niveau du router, as-tu protégé les accés sans-fil en activant la sécurité (mode wep, wpa-psk). Par défaut les accès wireless sont ouverts à tous, ce qui représente un problème majeur de sécurité. Les compagnies qui vendent ces routers sont négligeantes car rien n’indique clairement que nous devons intervenir à ce niveau.

    Bref il faut un minimum de savoir-faire pour monter un réseau sécuritaire avec des machines qui tourne en utilisant divers OS.

  2. Réponse à Alain: Ben voyons ! Je ne vais quand même pas laisser mon réseau ouvert sur la place publique. Oui il est protégé par WEP. Quant au système d’exploitation utilisé pour configurer les deux NAS, il s’agit de Windows, tel que précisé dans mon texte. Et chaque PC sous Windows XP est configuré de façon identique, comme il se doit, selon ce que recommande Microsoft. Rien de particulier à ce niveau. Même logique du côté Mac et Xandros. C’est le mieux que je puisse faire dans mon savoir-faire minimaliste.

  3. À titre d’information, je fonctionne en réseau local chez moi (routeur et passerelle) par fil avec deux ordi sous Win 2K et un sous XP. Les deux ordi sous Win 2000 peuvent dialoguer sans problème alors que celui sous XP ne reconnait pas les deux autres et ne peut montrer ses disques partagés.

    Il faut spécifier que XP est formaté en NTFS et les deux autres en FAT32. Lorsque je branche un portable Linux, j’ai accès à tous les disques partagés… Comme quoi, même Microsoft a des problèmes à communiquer avec lui-même…

  4. Bravo Nelson, tu serais surpris de connaître le nombre de router qui ne sont pas protégé convenablement.

    Bien Windows Xp est assez particulier au niveau des accès de la ressource. Celui-ci se comporte différemment selon les paramètres choisis. Fat32 vs NTFS, activer ou désactiver le partage de fichier simple etc. tout dépend de tes besoins. à ce niveau W9x était beaucoup plus simple car la ressource était partagé sur le base d’un accès avec mot de passe (si tu en inscrivais un évidemment).

    je dois avouer que mes connaissances de linux et mac sont encore limité et que je vais devoir expérimenté avec ceux-ci (beaucoup de lecture à faire).

  5. Petite question bien bête Neslon, est ce que tes utilisateurs sur mac et Linux portent le même nom/mot de passe que celui de ta configuration NAS si c’est le cas, ce que tu démontre ici est normal, le RPC utilise de base les « credentials » actif pour se logguer sur ce service distant.

    Sinon il manque d’infos pour réellement comprendre ce qui se passe.
    Peut être que tu pourrais utilisé Wireshard (Capture de packets) pour voire comment ces machines intéreragissent avec ton NAS. comment elle tente de communiqué avec.

    Ce serait bien si tu pouvais nous donnée plus d’info.

    PS: quand tu dis que ton réseau wifi est protégé, cela est vrai, mais pas très efficacement. Le WEP se crack facilement en moins de 5 minutes ou environ une capture de 2000 a 3000 packets. Tu devrais essayé le WPA2 qui est deja beaucoup plus efficace ou l’utilisation d’un vpn.

  6. Salut Nelson,

    Tes NAS sont de quel fabricant et quel modèle? Bien souvent, les NAS supporte autant le SMB/CIFS (Réseau Windows) que NFS (Unix) et aussi par un accès FTP et HTTP.

    De ton Mac et ton poste Linux, je ne serais pas surpris que la communication se fasse avec le protocol NFS… Qui ne fonctionne pas du tout comme Windows

  7. Merci said_az

    justement je pensais à cette particularité de XP. merci d’avoir publier cette idée. Personnellement je vais modifier mon réseau pour expérimenter ce phénomène de cohabitation entre divers OS. Ce sera surement instructif de voir fonctionner W98, XP (fat32 et NTFS) et linux au niveau du partage de la ressource. Donc plusieurs soirées à venir qui seront bien occupés

  8. Ceci est plus une question qu’une réponse… Est-ce que changer son serveur de fichiers par un Linux avec Samba pourrait régler le problème? Personnellement à l’école ou je travaille j’ai migré un serveur de fichiers Windows XP vers un Linux Debian stable avec Samba, et je suis vraiment satisfait des résultats, surtout au niveau performance. Samba semble en effet être plus rapide qu’un serveur SMB Windows! Par contre pour l’instant, mon serveur Samba n’est qu’un petit serveur de base sans mot de passe pour mes étudiants, et ceci m’amène vers ma question, peut-on configurer un mot de passe sous Samba pour les utilisateurs Windows, et si oui, on fait comment? J’aimerais migrer un autre serveur plus sérieux pour les enseignants mais il faut absolument qu’il soit protégé par mot de passe…

  9. Merci à said_az et Alain pour votre aide. Je crois que le chapitre d’Alain réponds plus à ma question. Ca semble assez simple finalement. Il ne me suffit donc que de partager un compte usager et après, à partir d’un poste Windows je dois simplement entrer ce nom d’usager/mot de passe pour y accéder?

  10. Reste que pour revenir au problème de Nelson… Est-ce qu’utiliser Samba règlerait son problème? Si, il configure Samba pour utiliser un compte usager UNIX ne pourrait-il donc pas simplement accéder à son server de fichiers sous XP et Vista en y tapant ce nom d’usager et mot de passe? D’après moi ca règlerait le problème sous XP, mais pour ce qui est de Vista, il semblerait que Microsoft on désactivé le support pour les serveurs Samba par défaut. Heureusement il est possible de remédier à ce problème, j’ai trouvé une solution à cette adresse:

    http://www.builderau.com.au/blogs/codemonkeybusiness/viewblogpost.htm?p=339270746

  11. Verifie le nom du « workgroup » des 2 boites windows, ils doivent etre identiques… J’ai eu le meme probleme que toi et pour y remedier je changeais le nom du workgroup, mais windows ne retenait pas les parametres. Sur XP, J’ai du les re-entrer au moins 10 fois avant que, comme par magie, ca fonctionne enfin… Les machines linux ou mac, quant a elle, vont systematiquement voir tout ce qui bouge! Et si tu veux que tout le monde jouent ensemble, met le meme nom de workgroup pour toutes tes boites. Et, en passant, tu utilises samba deja, avec xandros (le client smb et peut-etre aussi le serveur smb-pas certain pour cette distro…).

  12. Le plus simple serait que nelson sache avec quels protocoles et quels version s ces systèmes communiquent avec le San. Est ce un partage purement SMB?
    Utilise t’il le même mot de passe sur ces machines linux/MacOs que sur le SAN? Peut etre pourrait t’il nous ajouté un imprime écran d’une capture de paquets avec WireShark ou TCPDump lors de la connections comme cela nous pourrions diagnostiqué l’échange?

  13. dernier commentaire: si ta version de xandros n’a pas le serveur samba, installe-le! (il est open-source, bien entendu)

    Les possibilites de parametrage sous linux sont beaucoup plus vastes que sous une machine windows en ce qui a trait au partage de fichiers dans un LAN.

    Je te conseille egalement de brancher tes back-up sur la boite linux et de les partager a partir de la. Ca va etre beaucoup plus secure et, cerise sur le sundae: ca va aller beaucoup plus vite!

  14. #Je te conseille egalement de brancher tes back-up sur la boite linux et de les partager a partir de la.#

    Tu n’es pas sérieux ;-). Cela implique que Nelson va devoir s’engager à long terme avec sa boite Linux. Je ne crois pas qu’il soit prêt pour un tel engagement surtout qu’il vient à peine de faire sa connaissance (Xandros).

  15. Il y a une chose que j’ai oublié dans mon message précédent.. Nelson, as-tu vérifié s’il y a une mise-à-jour de « firmware » disponible pour tes NAS? Mise-à-jour qui pourrait comme par hasard avoir rapport à la compatibilité avec Vista… Beaucoup de NAS fonctionne sur Linux (surtout les plus abordables) et donc Samba pour offrir des dossiers partagés aux clients Windows. Y’a peut-être de quoi avec la version de Samba utilisée dans le NAS.

    Pour le laptop qui roule XP, tu pourrais essayer la commande suivante à partir de fenêtre « DOS »:

    NET USE \\DISQUE-RESEAU-2\IPC$ /USER:DISQUE-RESEAU-2\Nelson

    Tu auras peut-être un message d’erreur qui pourrait aider à trouver le problème. Si ça passe sans erreur, exécute ensuite:

    NET USE \\DISQUE-RESEAU-2\IPC$ /DEL

    Essaie d’accéder à nouveau à ton NAS par l’explorateur Windows. Au moment de taper ton nom d’usager et mot de passe, écrit DISQUE-RESEAU-2\Nelson comme nom d’usager plutôt que seulement Nelson. Cela force Windows à bien utiliser l’usager Nelson de DISQUE-RESEAU-2.

    Tite explication des deux commandes:
    -La première sert à s’identifier sur le NAS, sans tenter d’accéder à un dossier partagé.
    -La deuxième demande au NAS d’oublier ton identité tout juste établie et à ta machine de fermer cette connection qu’elle entretient avec le NAS. (bref, défaire la première commande)

    @marc belanger: être dans le même Workgroup facilite la navigation dans le « Voisinage réseau », mais sinon ça n’a aucune incidence sur la capacité d’une machine à communiquer avec une autre. La seule chose qui pourrait être important, c’est si on spécifie un « Scope ID » dans la configuration NetBIOS, mais comme il faut que ca soit poussé volontairement par un serveur DHCP ou forcé dans le registre, je doute fort que ce soit ça! (auquel cas Nelson aurait reçu l’erreur 53 « Le chemin réseau n’a pas été trouvé »). Dernier détail.. ses disques de backup sont des NAS! Ça donnerait pas grand chose côté performance de passer par un serveur Linux/Samba qui devrait lui-même utiliser SMB ou NFS pour communiquer avec lesdits NAS…

    @said_az: Nelson a des NAS (Network Attached Storage), pas des SAN (Storage Area Network)… C’est pas pareil du tout ! (ça doit être à cause de l’heure tardive 😉 ) Avant d’en venir à des TCPDumps, ça serait plus simple que Nelson explique en détails avec des captures d’écran comment il accède au NAS à partir de Linux et MacOS…

  16. J’ai lu l’article trop vite, j’avais pas catché que les disques de Nelson étaient des « NAS », je croyais qu’il passait par un ordi en serveur pour accéder à ces disques. Je ne suis pas vraiment familier avec de tels disques réseaux… C’est donc un disque que tu connectes directement sur le réseau, qui a sa propre IP? Quelle sorte d’OS gère le tout? Est-ce du SMB, NFS ou autre? Y’a-t’il une interface d’admin ou Nelson peut modifier des paramètres via son fureteur? Bref, comment ca marche un NAS?

  17. Suis-je le seul à penser que Nelson n’a peut-être pas vraiment de problème de sécurité? Outre le fait qu’il utilise une clé WEP (franchement… ), si son routeur est configuré pour ne laisser passer les ordis selon les MAC Address, y a pas de problème. En principe, aucun autre ordinateur ne pourrait se connecter sur son réseau. Est-ce que je me trompe?

  18. @Claude
    Je suis d’accord que la menace extérieur est faible (accès wireless au réseau). Cependant la menace se situe à l’intérieur du réseau. Si je choisis de protéger une ressource contre les accès non-autorisés avec l’utilisation d’un couple (usernane/password) et qu’une personne utilisant mon réseau (avec mon accord) peut accéder à cette ressource et mettre le bordel dedans alors « OUI » c’est un trou de sécurité sur le réseau.

  19. @ Claude limité les MAC adresse sur un AP (Acess Point) est une protection bien minime (C’est bon mais pas très robuste). N’importe quel attaquant peut capturé dans les trames réseau broadcasté les MAC adresse pour ensuite faire un deni de service sur une de celles qui sont codé dans l’AP et spoofer ça MAC adresse pour se connecter « lgétimement » sur le l’AP….

  20. @David Gagnon

    David, j’ai installer chez moi un serveur sme en moins d’une demi-heure. Le serveur peut faire le partage samba, un print serveur pc et mac. Chaque usager que tu créer via une interface web se voit attribuer un espace disponible via samba ou ftp. Il peut te servir aussi de routeur avec pare-feu.

    disponible ici: http://smeserver.fr/

    Nelson, tu n’as pas vraiment de problème de sécurité. Mac Osx et windows se servent de ton nom d’usager et ton mot de passe du démarrage pour naviguer dans le réseau. Il est donc probable que ton nom usager et mdp soit le même sur la machine et le réseau.

    Pour ce qui est de windows HP familliale, il n’est vraiment pas conçu pour le réseau. Tu devras installer XP pro. Est-ce que tu doit t’authentifié sur un domaine ou un workgroup? Si c’est sur un domaine, dans le champ nom usager, tu doit entrer « /nom de domaine/nom usager »

  21. Bonjour,
    Votre NAS est-il sous Samba et votre problème de connexion avec VISTA ?
    Si oui, il y a une manipulation à faire dans Vista en raison d’un bogue sous Samba qui n’affecte pas XP et version antérieures.
    J’ai eu un problème similaire avec mon NAS Buffalo.
    Ideéalement, il faudarit que tous les PC et les NAS sonient dans le même Workgroup, même si ce n’est pas une nécessité.

  22. @ Alain : Merci de ces précisions. C’est vrai que c’est un trou de sécurité. Mais comme vous dites, il faut autoriser l’accès à notre réseau dans la maison pour l’exploiter.
    @ said_az : Merci pour la démonstration «ésotérique» 🙂 (Je blague) Bien que très réelle, dans les conditions que vous expliquez très bien, je dois alors me méfier de mes proches voisins! Les vilains… Ou pire encore, de ces hackers qui stationnent leur voiture devant chez moi! Dans quel monde vivons-nous, je vous le demande! Plus sérieusement, tant que «l’attaquant» ne peut entrer sur mon réseau de chez lui (au Kansas disons), je ne m’inquièterais pas trop. Mais si vous me démontrez que cette faille de sécurité est aussi exploitable du Kansas, là… j’appelle Dorothée et la bonne fée de l’Est pour me protéger! 🙂

  23. KLuc:
    XP Familial et XP Pro fonctionnent tous deux très bien en réseau.
    Par contre, en effet, pour se joindre à un domaine, ca prend XP Pro. Pour attribuer des droits différents aux utilisateurs selon les fichiers, ca prend XP Pro.
    Mais faudra avouer qu’à la maison, c’est rare qu’on a un domaine, et c’est presqu’aussi rare qu’on veut protéger certains fichiers contre d’autres utilisateurs.
    A part ça, c’est du pareil au même. (Un vulgaire Win2000 avec un look Mickey-Mouse)

    La gaffe de Nelson est probablement comme certains ont dit, qu’il aurait besoin d’un cours de « sécurité/usernames 101 ».

    Pas mal tous les utilisateurs mélangent le nom d’utilisateur et le nom du pc, et/ou croient que les 2 sont reliés ou doivent être nommés pareil.

  24. @ Claude,

    Je suis pas trop sur si tu te fou de ma gueule ou pas.
    Mais bon je peux t’assurer que quand j’ai des « choses » a faire c’est de cette façon dont je procède (Par les réseaux des voisins). Ici j’ai un HoneyNet (Un pot de miel) qui est bien sur installé dans le seul but de voir ce que mes voisins tentent de faire dessus et j’aime bien les voire tourné en rond a tenté d’accèdé au web, tenter de scanner mon réseau… Si tu habite une bonne vielle banlieu y a pas trop de problèmes, moi je suis dans un bloc du quartier universitaire, il vaut mieux bien se protégé et plus que part le blocage des adresse MAC. 😉

  25. Je suis bien d’accord avec said_az. C’est fou le nombre de personne qui cherche délibérément à rentrer sur ton réseau domestique. Au moins 1-2 fois par mois, je peux lire dans mes logs que certaines personnes font des tentatives volontaires (des essais sur plusieurs heures) pour défoncer mes protections.

    Généralement les utilisateurs sont inconscients des menaces car personne ne regarde les multiples logs reliés à la sécurité. Pourtant c’est un outil essentiel pour bien évaluer ton niveau de protection. Selon moi, les 2 logs suivants sont parmi les plus importants, le log de votre router qui est votre premier niveau de défense et le log de votre firewall qui est le premier niveau de protection sur votre ordinateur. Sans oublier les autres outils de protection que vous utilisez sur votre machine. C’est fou ce que l’on peut découvrir en analysant un log de sécurité. Par exemple, parfois vous pouvez découvrir que votre anti-virus a été désactivé par un virus/code pendant votre navigation sur internet. c’est vraiment rassurant de savoir que l’on est sans protection.

  26. @ said_az : Comment peut-on se protéger encore plus? J’ai un routeur Netgear avec clé WPA-PSK et un firewall dans chacun de mes 2 PC (ZoneAlarm Pro). Je ne sais pas ce que je pourrais faire d’autre pour être plus blindé ? M’acheter une veste pare-balles? J’habite le centre-ville…

  27. Je crois que la pire gaffe à faire, serait de se fier sur un logiciel de pare-feu (peu importe lequel) et sous-estimer l’importance d’un router (qui intègre automatiquement, par sa logique d’opération, un pare-feu)

  28. Arrêtez avec vos tentatives pour sécuriser vos réseaux sans fil. J’ai mis du grillage métallique dans tous mes murs, fenêtres et portes. C’est la protection idéale.

  29. Le router est un excellent outil de protection quand on est branché en permanence à l’Internet sauf que la sécurité c’est avant tout un ensemble de mesures complémentaires (Logiciels et saines habitudes de navigation). Par le passé, j’ai réparé un réseau domestique qui avait été infiltré par un hacker. Le router fesait son travail mais une machine avait été contaminé et celle-ci avait donc ouvert une porte d’accès au travers du router (communication du réseau vers internet). Donc les régles du firewall était respecté mais le hacker pouvait travailler à sa guise sur le réseau en utilisant la machine infectée. Il faut arrêter de croire que l’on est toujours en sécurité parce que l’on utilise la dernière protection à la mode.

  30. @Alain
    Je viens justement d’avoir ce problème. Router,firewall(Zonealarm), anti-virus(Avast). Avast a détecté un cheval de troie, je n’ai pas pris de chance, j’ai formaté. Il faut dire que windows est toujours seul sur le C:. Alors quand je formate ou reprend une image crée précédemment c’est vite installé. J’envoi tout les raccourcis sur le D: avant de formater et ramène après le formatage. Je sauve beaucoup de temps. Tout cela pour dire que je suis installé en cas de me faire attaqué.

  31. @Alpha386

    C’est une excellente approche pour ceux qui maitrise cette technique (ghost). Moi-même je conserve plusieurs ghosts (image disque) de mes ordinateurs. C’est vraiment pratique quand un problème survient sur ta machine. De plus c’est essentiel pour moi, car je fais beaucoup d’essai et des tests divers. quand ton OS est très bien configuré, tu ne veux pas tout reprendre à chaque fois que tu réinstalles le tout. Bref vaut mieux prévenir que souffrir!

    Finalement nous ne connaîtrons jamais le fond de l’histoire sur les problèmes de sécurité de Nelson. Notre ami n’est pas très bavard sur le sujet.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s