Forum Linux.général Sécurité : Linux Debian Guest (VBOX) dans Windows XP, écoute SSH

Posté par  .
Étiquettes :
0
10
juin
2012

Bonjour à vous,

Actuellement utilisateur de Debian, j'ai du me contraindre à installer un Windows XP SP3 sur une machine embarqué servant de TV/MediaCenter/ServeurSFTP/ServeurWeb, de part le manque d'efficacité du pilote video fourni dans le kernel linux. (pas d’accélération matérielle possible)

J'ai donc rajouté une Debian dans une VBOX, puis ai ouvert les ports 22 et 443 par port forwarding (fonction de VBOX), et enfin j'ai lié ces ports à ceux de la SFRBox (NAT) dont l'IP est reliée à un nom de domaine sur no-ip.org.

Ma question est donc : si seul les 2 ports 22 et 443 sont ouverts sur la SFRBox, et qu'ils sont reliés à la virtualbox, y a t-il potentiellement faille de sécurité par le fait de transiter par un windows xp (qui au passage ne se connecte pas au web).

Mes connaissances en réseau windows étant plutôt limités, je fait appel à vos lumières…

En vous remerciant d'avance pour vos conseils.

Zaft

  • # Oui et non

    Posté par  (site web personnel) . Évalué à 5.

    Ton Windows ayant une carte réseau, il présente tous ses port sensibles (SMB, RDP, UPnP, etc…) sur le réseau local. De ce fait, si un autre Windows se connecte sur ton réseau local (soit par le fil, soit par le wifi), il y a risque d'attaque.

    Autre vecteur possible : La Debian. A priori, un programme exécuté sur la Debian a accès aux port du Windows, et donc il peut l'attaquer.

    De même qu'un programme fonctionnant sur la SFRBox peut accéder aux ports ouverts du Windows. C'est peu probable, mais je ne doute pas que la SFRBox puisse recevoir les messages de broadcast du Windows, l'UPnP, ou toute autres protocoles d'auto-découverte de ce type.

    Enfin, à propos de ta phrase:
    > qui au passage ne se connecte pas au web
    J'en déduits donc que tu:
    - as désactiver les services DNS et DHCP du Windows
    - as configuré en IP statique le Windows
    - n'a pas renseigné les adresses de DNS et de passerelle
    n'est-ce pas ?

    Si tu veux limiter la casse pour ton Windows:
    - désactive tout les services inutiles du Windows, afin de fermer un maximum de port. Sous windows, la commande "netstat -an" te dira quels sont les ports ouverts
    - mets en place un firewall sur le Windows. A voir si le firewall intégré à Windows est suffisant.

  • # carte graphique ?

    Posté par  . Évalué à 3.

    c'est quoi ta carte graphique pour avoir des soucis à ce point là ?

  • # Windows à véfifier donc

    Posté par  . Évalué à 1.

    Ton Windows ayant une carte réseau, il présente tous ses port sensibles (SMB, RDP, UPnP, etc…) sur le réseau local. De ce fait, si un autre Windows se connecte sur ton réseau local (soit par le fil, soit par le wifi), il y a risque d'attaque.

    Ok. Pas de soucis ici, le wifi est coupé, et je suis le seul utilisateur du réseau local derrière la box. Les quelques utilisateurs ayants accés à mon serveurs sont derrière MySecureShell, donc peut de soucis ici aussi.

    Autre vecteur possible : La Debian. A priori, un programme exécuté sur la Debian a accès aux port du Windows, et donc il peut l'attaquer.

    Dans ce cas là, la vulnérabilité est la même qu'avec un linux seul. C'est amplement suffisant pour mes besoins persos, et je compte bien renforcer la sécuritée de la Debian (connection par clés, root login coupé et denyhost)

    De même qu'un programme fonctionnant sur la SFRBox peut accéder aux ports ouverts du Windows. C'est peu probable, mais je ne doute pas que la SFRBox puisse recevoir les messages de broadcast du Windows, l'UPnP, ou toute autres protocoles d'auto-découverte de ce type.

    Effectivement. Même si windows XP semble plus discret que Windos 7 sur le réseau, il vas falloir que je vérifie les sorties. Un petit parfeu opensource pas mal, isafer, suffit pour filtrer les sorties windows.

    Enfin, à propos de ta phrase:
    > qui au passage ne se connecte pas au web
    J'en déduits donc que tu:
    - as désactiver les services DNS et DHCP du Windows
    - as configuré en IP statique le Windows
    - n'a pas renseigné les adresses de DNS et de passerelle
    n'est-ce pas ?

    IP static oui, DNS supprimé oui, mais pas pensé aux services. Merci du conseil.

    Si tu veux limiter la casse pour ton Windows:
    - désactive tout les services inutiles du Windows, afin de fermer un maximum de port. Sous windows, la commande "netstat -an" te dira quels sont les ports ouverts
    - mets en place un firewall sur le Windows. A voir si le firewall intégré à Windows est suffisant.

    Ok, je regarde tout ça. Très utile cette commande, j'utilisai nmap-win32 jusqu'à maintenant.

    Merci pour ces précieux conseils ;)

    c'est quoi ta carte graphique pour avoir des soucis à ce point là ?

    La carte intégrée de ce chipset là : http://www.via.com.tw/en/products/chipsets/v-series/vx855/
    Elle est gérée sous linux, mais pas avec l'accélération. Résultat, la TV lague dés que quelqu'un se connecte au serveur SSH. Sous windows, ça passe nickel… (sauf la HD bien sûr, faut pas réver…) :)

    • [^] # Re: Windows à véfifier donc

      Posté par  . Évalué à 2.

      c'est quoi ta carte graphique pour avoir des soucis à ce point là ?

      La carte intégrée de ce chipset là : http://www.via.com.tw/en/products/chipsets/v-series/vx855/
      Elle est gérée sous linux, mais pas avec l'accélération. Résultat, la TV lague dés que quelqu'un se connecte au serveur SSH. Sous windows, ça passe nickel… (sauf la HD bien sûr, faut pas réver…) :)

      c'est alors pas un souci de driver video, mais plutot un probleme de performance (RAM, disque dur, cpu)

      le ssh ne consommant rien de la session graphique

      • [^] # Re: Windows à véfifier donc

        Posté par  . Évalué à 1.

        Pas d'accord. Le ssh consomme pas mal de ressources CPU sur des configs modestes. L'un de mes serveurs sur ARM 700mhz ne peut pas dépasser 2mo/s en upload à cause justement de cette limite CPU qui plane à 100%.
        Ici, sans l'accélération matérielle, le CPU se charge de toute la partie décodage du flux vidéo. Résultat, il arrive à peine à afficher 20 frames/s et l'arrivée d'une connexion ssh lui pose un sérieux souci de performances…

        Sous windows XP, la partie graphique intégrée apporte avec son pilote un lot de librairies pour décoder matériellement certains flux, dont le mpeg.

        A moins que je n'ai rien compris du tout…

        • [^] # Re: Windows à véfifier donc

          Posté par  . Évalué à 2.

          pourtant sur internet on trouve des references qui disent que le VX855 devrait etre bien gerer par linux

          ici, ca dit, en Avril 2009, qu'on peut experimenter avec linux :
          http://www.viaarena.com/vx855-linux-driver-released.aspx?ID=68&MCatID=2

          ici, tu peux telercharger le pilote pour le linux de ton choix (ou presque)
          http://linux.via.com.tw/support/downloadFiles.action

          • [^] # Re: Windows à véfifier donc

            Posté par  . Évalué à 1.

            Malgré toutes mes recherches, je ne suis pas parvenus à trouver cette page de pilotes pour Linux… -_-' Merci énormément !

            Je vais tenter avec le pilote pour Ubuntu 10.04, cela doit coller avec la Debian 6.0.5. Ca m'évitera de devoir attendre 5 minutes à chaque démarrage que l'antivirus et compagnie daignent se lancer.

            Encore merci !

            • [^] # Re: Windows à véfifier donc

              Posté par  . Évalué à 2.

              tiens nous au courant de tes avancées
              si ca marche ca peut en interesser quelques uns.

              • [^] # Re: Windows à véfifier donc

                Posté par  . Évalué à 0. Dernière modification le 17 juin 2012 à 20:12.

                Ca roule.

                Je teste ça demain avec une version server d'ubuntu 12.04 et l'interface LXDE.

                Je me pose tout de même une question : les seuls bins disponibles sont pour la 11.04. La 11.04 est sous un Kernel 2.x alors que la 12.04 est en 3.x. Mais comme le script d'install test la version du Kernel et semble compiler certaines parties en fonction de ça, on verra bien…

                • [^] # Re: Windows à véfifier donc

                  Posté par  . Évalué à 0.

                  Ok, ca tourne avec les kernels 3.x, le pilote de Vmware est chargé par défaut et apporte l'accélération matérielle.
                  Via a bien rajouté les dernières versions d'ubuntu dans ses pilotes, mais même pour la 12.04, seul les kernels 2.x sont supportés…

                  Dans tous les cas, c'est bon pour moi ;)

                  Encore merci pour votre aide !

                  • [^] # Re: Windows à véfifier donc

                    Posté par  . Évalué à 2.

                    Ok, ca tourne avec les kernels 3.x, le pilote de Vmware est chargé par défaut et apporte l'accélération matérielle.

                    je comprend pas trop ce que tu as fais mais
                    si tu installes le pilote Vmware, c'est que tu as toujours ton Linux dans une machine virtuelle à l'interieur de ton windows,
                    du coup, le pilote VIA ne te sert à rien du tout sous linux.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.