Utilisation de la DMZ pour accès extérieur

Bonjour,
J’aimerai une conseil sur le sujet.
Est il préférable de se connecter à une iPX depuis l’exterieur en ouvrant un port et faire une règle NAT dans le routeur ou configurer la Livebox en mettant l’IPX dans une DMZ ?
Quelles sont les aventures et inconvénients des deux méthodes ?
Sachant que je souhaite accéder de l’extérieur à mes trois équipements : v3, v4, ecodevice.
Merci pour votre avis
fred60

Perso, j’ai jamais trop utilisé les dmz.
Je suis en regles NAT, aucuns soucis depuis 1.5 ans

Merci ipxnico pour ta réponse. Ça roule aussi comme ça pour moi depuis 4 ans, mais je me dis que si la DMZ existe, ça doit avoir un intérêt !

oui surement, mais en informatique, j’aime utilisé le strict minimum pour ne pas ouvrir des « portes » non necessaires…

Mais je suis curieux du retour d’autres utilisateurs.

Bonjour,

Une DMZ (zone démilitarisée) est une porte grande ouverte sur internet. On y met généralement les Firewall, proxy ou serveurs spécialisés appelés Bastions à cause de leur position en avant-poste.
C’est aussi un leurre pour les Hackers.

Si les précautions à prendre vous sont inconnues, préférez la création d’une règle NAT sur votre box et n’omettez pas le firewall.

Cdlt

Merci fgtoul pour vos préconisations.

Et du coup avec l’IP et le bon port, tout le monde y a accès?
C’est pas possible de faire plus secure?

(Je précise que je n’ai pas (encore) d’IPX, et que l’aspect sécurité m’intéresse justement)

Heureusement que non vous avez une protection login et mot de pass (à activé pour plus de sécu)
également protéger en mode user et admin

Oui, mais pour cela il faut mettre en place un VPN.

Pour le VPN il faut connaitre aussi …et il vaut mieux que ce soit la box dans ce cas qui fasse serveur VPN (freebox, livebox pro …)
Oui pour les mots de passe, mais encore faut-il changer ceux qui sont mis par défaut …

Certains ports connus pour leu fragilité doivent être fermés ou protegés par une restriction IP .
je pense à FTP, SMTP …

Petite astuce, Perso, je change également l’identifiant ADMIN qui est trop banal est connu !

Ne pas mettre en oeuvre une DMZ offerte par les BOX à moins d’en avoir vraiment besoin et de vraiment savoir ce que l’on fait. Les règles NAT sont moins ouvertes qu’une DMZ mais ne constituent pas une sécurité.

Vu que le login et mot-de-passe circulent en clair (ni https ni challenge/response), que le nombre de tentatives de login ne semble pas limité, la seule solution fiable pour accéder à son IPX depuis l’extérieur me semble être l’emploi d’un VPN.

Après tout dépend de ce qui est contrôlé par l’IPX : volets, lumières, piscine … ou alarme d’intrusion?

Tout à fait d’accord avec toi Teebex!
Pour ma part tout ce qui n’a pas de https c’est obligatoirement du VPN!
C’est pour ca que j’ai fait le choix de séparer les 3 pôles (Alarme / Serveur Audio-video / Domotique de confort)
Pour moi la seule chose que peut faire la domotique c’est interroger l’état des 2 autres mais jamais de modifier leurs états! Ca évite les effets de bord et qd y en a un qui m**** les autres non

bonjour,
sans tomber dans la paranoïa, le VPN n’est pas infaillible non plus, loin s’en faut.
cdlt

Non (surtout si vous utilisez toujours le même mot de passe ou un mot de passe peu sécurisé ;)) mais c’est le seul moyen d’assurer que la connection soit cryptée de bout en bout.

peu importe le mot de passe, pourvu que vous n’utilisiez pas le protocole PPTP (soit disant abandonné par Microsoft alors que présent encore dans windows 10).

Cela dit à mon petit niveau d’utilisateur particulier en domotique, je ne risque pas grand chose (a part ouvrir les volets, mettre le chauffage, allumer les lumières…) Le seul risque c’est effectivement de pouvoir éteindre l’alarme. Mais là encore, je devrais normalement recevoir un mail et un push via Prowl et bientôt un SMS via Xgsm… Donc je devrais me rendre compte si quelqu’un prend la main.
En revanche ce qui m’embête le plus, est que quelqu’un puisse entrer dans mon réseau local via mes serveurs domotiques que j’aurai mal sécurisés
Merci encore.
A+
Fred60

Bonjour,
Je veux juste dire qu’il n’existe pas de bonne solution pour protéger un réseau, si on ne maitrise pas.

Pour rappel le VPN a été créé pour se connecter à des entreprises et donc à TOUTES les machines du réseau (avec les paramètres par défaut). Et là vaut mieux maîtriser pour se protéger.

Le protocole PPTP est déployé et proposé sur tout type de serveur (syno, win10 …) alors qu’il est fortement déconseillé de l’utiliser car jugé trop dangereux. Certains parleront de failles, d’autres de mauvais paramétrage …
Il est simple à mettre en oeuvre, c’est pourquoi il est encore beaucoup utilisé.
cdlt

Les moyens de protection doivent être aussi fonction des choses à protéger… Rien n’est infaillible … après est-ce que le hack en vaut la chandelle?
Je pense qu’il faut mettre un minimum de protections sérieuses (qui ne se cassent pas en 2 tps 3 mvts) et aussi faire attention à ce qu’on met derrière (par ex pour moi: aucune ouverture automatisée de la maison à part le portail).
Dans ce sujet, « Utilisation de la DMZ pour accès extérieur » je pense que proposer qqc de sécure et que le plus grand nombre puisse mettre en oeuvre semble être judicieux
Le VPN est qqc de sérieux simple à mettre en oeuvre car le net regorge de tuto bien fait qui permet de se connecter sur une box depuis un tel portable. Les points à soigner sont le certificat et les mots de passe