Maxisun

[Rymode]

Merci j2c.

Bien sûr je suis conscient du risque, mais il ne faut pas être non plus parano. Tous les équipements connectés à Internet peuvent être piratés...
Quasiment tous les propriétaires de caméras ou d'alarmes connectées et d’accessoires de sécurité peuvent accéder à leurs appareils à distance et n'importe quel pirate un peu dégourdi, peut aussi accéder à ces équipements .... Donc effectivement tous ces équipements peuvent faire l'objet de piratage. Pour les particuliers, le risque est quand même limité.. Il est important aussi de rendre la tâche de ces pirates, difficile, ce que je compte faire.

L'accés au M.S comporte quand même 5 niveaux de sécurité (un mot de passe principal + 4 autres niveaux en fonction de ce qu'on souhaite modifier dans les paramètres et qu'on peut modifier à volonté)

Et puis je n'ouvrirai l’accès de ma box vers le M.S. qu'occasionnellement et en cas d'absence. Le reste du temps ce n'est pas nécessaire. Il faudrait vraiment avoir un manque de chance très peu probable qu'on cherche à me pirater à ce moment là...

Concernant ton lien, merci mais il concerne la Livebox que je viens de rendre. Je possède actuellement la Freebox révolution.
Un informaticien m'avait expliqué que je ne peux pas faire une redirection de port vers le maxisun, si celui-ci n'est pas dans la liste des appareils connectés sur les ports Ethernet... Hors le soucis est là, le M.S. n'apparait pas dans l'interface de la box.. C'est pourquoi j'aimerai pouvoir échanger avec des propriétaires de Maxisun qui ont raccordé leur M.S à leur box par un câble réseau...

[j2c]

Les proprios de caméra de surveillances ne donnent pas accès directe aux caméras.
Ce sont les caméras qui initient une communication vers un serveur central, qui lui est accessible pour le proprio.
Donner accès aux caméras en direct, est une connerie (j'en discutais encore avec un collègue dont le taf, c'est la vidéo surveillance...)

J'ai l'impression que tu connais déjà les risques, et que tu agis en connaissance de cause. Je n'ai pas besoin d'en ajouter ;)

Freebox révolution :

Je pense que tu devrais trouver ton bonheur ici :
https://funky-emu.net/topic/22806-free- ... -de-ports/

Cliquer sur "révéler le contenu masqué".. pour déplier le document.

[Rymode]

J'ai parcouru rapidement ton lien.. C'est très bien expliqué apparemment.
je vais essayer ça dès que j'aurai un peu de temps. je te dirai si ça fonctionne. merci !

[clyric]

pour commencer,
en général les caméras sont des clients et non des serveurs, ils envoient effectivement les infos vers un serveur relai, c'est de toute façon beaucoup plus simple et sécurisé.
( je vais pas rentrer dans les détails, mais parano ou pas, il y a des milliers d'IOT qui ont été vérolés et servent pour les attaquent en deni de service... pas la peine d'en rajouter encore )
et la sécurité aussi des caméras, c'est nada... j'ai déjà acheté une caméra chez Leroy M . avec un code barre d'appairage et je suis tombé sur une caméra en espagne...

dans ton cas pour avoir accès au port 80 du maxisun ou autre, il y a 2 choses :
t'es sur 2 réseaux différents ( internet et ton intranet ) donc tu ne peux attaquer en direct l'objet connecté , il te fait au niveau de la box faire du routage entre le port XXX de ta box et le port 80 de l'ip de ton objet.
déjà le fait de changer le port exposé sur le net va limiter un peu les attaques... mais ça reste totalement insuffisant.
par accès en brutforce, le maxisun tiendrait pas 3 min... soit il va planter, soit la personne y aura accès...

perso c'est donc une grosse bêtise.

pour Free( comme pour les autres, maintenant, ils font aussi de l'IPV6 donc en général t'as du partage d'IP entre plusieurs abonnées et donc pour les ports... c'est vite compliqué car tu n'as plus qu'une partie de tous les ports dispo. )

quand au câble réseau... il me semble que le maxisun est en wifi donc si tu n'arrives pas à le contacter ( plus tes autres questions ) ... désolé de le dire, mais t'as pas le niveau pour assurer la sécurité de ton réseau en l'exposant sur internet...
( c'est juste un constat, pas une attaque... ( en 3 min, j'ai eu ton IP de ton post, j'ai pu me présenter au relay mail de ta box donc t'as des ports ouverts... donc faut toujours rester parano sur le net... ( la sécurité réseau c'est aussi mon taf )

que ça soit sur Ceret ou ailleurs en France, les pirates ça les gènes pas de chiffrer tes données...

[j2c]

Pour avoir une IPv4 à soit chez free, il faut demander une fullstack.

[clyric]

le fullstack c'est utile uniquement si tu fais du service avec des ports dynamiques ( torrent pour pas le dire ) , dans le cas d'un port unique, pas besoin.

sur l'interface free, il est indiqué les correspondance entre ton IP et les ports que tu peut bind.

[j2c]

Le fullstack, sert surtout à avoir accès à tout tes ports.. et quand tu fais de l'hébergement (ce qui est mon cas), c'est juste indispensable.

Quand tu fais du torrent.. le fullstack ne sert à rien. .. il suffit de configurer le client avec un port qui est dans le range qui t'es attribué ;)

Mais oui, pour un port, tu peux te passer du fullstack.
Perso, avoir une IP FIXE partagée avec 3 autres gus.. qui peuvent te ruiner ta réputation sur un forum en foutant le bordel... très peu pour moi.
Du coup, fullstack demandée dès l'arrivée de la box.

[clyric]

dans tous les cas... SVP évite d'exposer le maxisun sur le net c'est vraiment, un conseil !!

Face à la pénurie des IPv4 (et à leur prix), Free a mis en place un système de partage des adresses IP entre 4 abonnés,
comme donc une adresse d’immeuble partagée avec 4 logements. Ce système fait que chaque abonné se voit dédié une plage de ports (1-16363, puis 16384-32767 etc).
On a donc une IP publique fixe mais partagée.

[Rymode]

Hello !
Je ne pensais pas que ma simple demande de contacter des possesseurs du maxisun sur ce forum, susciterait ce débat passionné sur la sécurité des appareils connectés...
Je suis loin d'être un expert ou même spécialiste de l'informatique et du net, mais je suis conscient des risques de piratage et des nombreuses tentatives d'escroqueries qui existent... Et surtout que le risque zéro n'existe pas !!
Par contre si vous pouviez me donner quelques précisions sur les expressions que vous avez employées ensuite. C'est du chinois, pour moi !

pour commencer,
en général les caméras sont des clients et non des serveurs, ils envoient effectivement les infos vers un serveur relai, c'est de toute façon beaucoup plus simple et sécurisé.
( je vais pas rentrer dans les détails, mais parano ou pas, il y a des milliers d'IOT qui ont été vérolés et servent pour les attaquent en deni de service... pas la peine d'en rajouter encore ) et la sécurité aussi des caméras, c'est nada... j'ai déjà acheté une caméra chez Leroy M . avec un code barre d'appairage et je suis tombé sur une caméra en espagne...)

J'entends bien vos propos sur la sécurité mais ce n'était pas trop l'objet de ma question initiale...
D'autre part , ton message est un peu (beaucoup) contradictoire. Tu dis que "les caméras sont des clients et non des serveurs ... C'est plus simple et sécurisé"... et ensuite que "la sécurité des caméras c'est nada !"

Nous sommes quasiment tous possesseurs de caméra connectées (y compris celles des PC et des smartphones qui ont également des micros à l'écoute de notre entourage). J'ai d'ailleurs un neveu qui est tellement parano à ce sujet qu'il met des rubans adhésifs sur les caméra de ses PC !!

Personnellement, j'ai installé des caméras de surveillance extérieures et aussi une à l'intérieur chez moi (je veux pouvoir surveiller ma maison pendant mon absence) et je me fous pas mal de savoir que quelqu'un peut EVENTUELLEMENT se connecter sur mes caméras...
Quand on sait que les caméras et même les micros de nos smartphones peuvent également être piratés... On n'est jamais à l'abri de piratage et d'espionnage de notre vie privée... Franchement, je pense que les geeks ont certainement d'autres intérêts à pirater des données informatiques sensibles qu'un simple régulateur solaire qui va leur donner les indications sur la T°de mes capteurs, sur le fonctionnement des vannes et la T° de ma piscine ?

dans ton cas pour avoir accès au port 80 du maxisun ou autre, il y a 2 choses :
t'es sur 2 réseaux différents ( internet et ton intranet ) donc tu ne peux attaquer en direct l'objet connecté , il te fait au niveau de la box faire du routage entre le port XXX de ta box et le port 80 de l'ip de ton objet. déjà le fait de changer le port exposé sur le net va limiter un peu les attaques... mais ça reste totalement insuffisant.
par accès en brutforce, le maxisun tiendrait pas 3 min... soit il va planter, soit la personne y aura accès... ils font aussi de l'IPV6 donc en général t'as du partage d'IP entre plusieurs abonnées et donc pour les ports... c'est vite compliqué car tu n'as plus qu'une partie de tous les ports dispo.

A priori, tu es spécialiste de l'informatique, mais tes explications sur la redirection des ports, c'est du chinois pour moi... Désolé !
J'aurai surtout besoin d'explications du niveau "pour les nuls en informatique", si tu vois ce que je veux dire.

.... quand au câble réseau... il me semble que le maxisun est en wifi donc si tu n'arrives pas à le contacter ( plus tes autres questions ) ... désolé de le dire, mais t'as pas le niveau pour assurer la sécurité de ton réseau en l'exposant sur internet...

Parce que tu crois que la majorité des abonnés internet ont le niveau pour assurer la sécurité de leur réseau ??
Je n'avais pas le niveau non plus pour installer moi-même un S.S.C et avec l'aide des membres du forum, j'y suis bien arrivé !
Je pense qu'avec l'aide de gens suffisamment doués en réseaux internet et en paramétrage de box,tout est possible avec la technique du pas à pas...
d'autre part, le maxisun n'est pas en WI-FI ! Il est connecté à la box par un câble réseau....Et je si peux accéder à son interface, c'est uniquement en me connectant à Ma BOX en wi-fi... ce n'est pas la même chose.

... ( c'est juste un constat, pas une attaque... ( en 3 min, j'ai eu ton IP de ton post, j'ai pu me présenter au relay mail de ta box donc t'as des ports ouverts... donc faut toujours rester parano sur le net... ( la sécurité réseau c'est aussi mon taf )...
que ça soit sur Ceret ou ailleurs en France, les pirates ça les gènes pas de chiffrer tes données...

Effectivement obtenir l'I.P. d'une box ou d'un P.C doit être assez simple... mais je ne suis pas sur CERET... Tu la situes où, cette dernière publication ?
Cordialement.

[clyric]

ok, je vais essayer de vulgariser :
client/serveur : une caméra envoie les images vers un serveur distant et non un serveur distant qui vient se connecter dessus pour récupérer les infos. c'est la caméra qui prends l'initiative d'envoyer les infos.

après parfois il est possible de leurs demander des trucs à distance ou autre et c'est là le problème.
ça n'est pas forcément le fait de partager des images, mais c'est surtout le fait d'utiliser leurs bandes passante pour faire autre chose ( en gros on sature une société en demandant à tout les caméras qu'on a sous son contrôle d'envoyer tout et n'importe quoi vers la cible dans le but de saturer la connexion de l'attaquer ( attaque dite de deny de service )
https://www.cybermalveillance.gouv.fr/t ... rvice-ddos
https://www.leparisien.fr/economie/obje ... 175525.php


c'est sur que le maxisun importe peu aussi, mais bon dans le doute.. et puis l'installation qui est planté et ton montage qui se met à surchauffer c'est pas optimal.

le problème est que tout est potentiellement une cible... ils ont bien tenté de surcharger le site de l'APPER à une époque... ça a bien durée 2h...

pour les caméras sur PC ... je suis pas mieux... j'ai un cache amovible. ça n'est pas une parano, mais juste un risque identifié potentiel assez élevé et pas forcément détectable.

pour les ports et l'IP :
tout élément connecté a une IP ( internet ou interne à ton réseau )
chaque IP communique avec un ou plusieurs ports en fonction des services dont il a besoin ( port 80 et 443 pour le web , 25 pour les mails , etc ... ) et donc ma réponse sur ce forum envoie une information sur une IP et sur le port 443

pour faire communiquer un serveur entre 2 réseau, il faut brancher les "fils" de ces ports entre les 2 réseaux donc par exemple si tu t'es fais un serveur web pour tes photos de vacances, il faut indiquer que le port 80 de ta box renvoie vers le port 80 de ton ip interne de ton serveur web.

pour les particuliers, c'est la box qui fait protection, si on laisse la configuration par défaut faite par le fournisseur internet.

pour Ceret, c était l'IP Orange de ton enregistrement sur le forum ;) du 7 dec 2020 à 17h40 c était pour te faire réagir.
c'est aussi comme ça que j'identifie les faux comptes de certains pays qui s'inscrivent sur le forum.

en espérant avoir été un peu plus clair.

[j2c]

Perso, je n'ai qu'une machine exposée. ... et plutôt blindée niveau sécurité.
Le reste, c'est du rebond. (via reverse proxy par exemple)
Voir certaines pas du tout. (trop risqué pour les fuites de données)

Mais tu as plus vite fait, de te monter un petit serveur VPN sur un raspi (un raspi 2 avec pivpn, ça marche très bien.)

Comme ça, tu exposes le pi.. et non toute ton installation de chauffage ou tes caméras.
Et quand tu veux voir tes caméras .. hop, VPN.
quand tu veux voir ton install maxisum.. VPN.
Et quand t'as fini, tu coupes ;)

(c'est ce qui est installé chez moi pour faire de l'admin à distance... et j'ai un réseau de PME à la maison.. pour de vrai ;) )

On est pas dans un délire de complotisme... il suffit de regarder les logs d'une machine exposée sur le net.. pour comprendre qu'il y a vraiment des connards.. qui cherchent à foutre le bordel.

[Rymode]

.... Le reste, c'est du rebond. (via reverse proxy par exemple)... un petit serveur VPN sur un raspi (un raspi 2 avec pivpn)
Comme ça, tu exposes le pi.. et non toute ton installation de chauffage ou tes caméras....

Salut j2C et merci pour ces explications on ne peut plus claires !! Même mon traducteur chinois, n'a rien compris...
Bon, je plaisante, mais ça veut certainement dire qu'il est possible de sécuriser un peu (voir beaucoup) le maxisun en lui autorisant une redirection de port....
Je n'en suis pas encore arrivé à ce niveau et déjà si j'arrive à accéder à mon régulateur depuis un réseau extérieur, je serai content.
Ensuite je verrai niveau sécurité ce qu'il est possible de faire.

[clyric]

en "clair"

tu montes une machines qui va servir de passerelle entre ton réseau et internet ( un raspberry PI -> c'est un tout petit ordi en gros qui tourne sur une carte SD)
tu l'allumes quand t'as besoin et tu le coupe dès que c'est fini.

et même si tu le coupe pas, tu peux malgré tout le sécuriser assez facilement pour protéger tout tes autres équipement derrière.

en gros ça sert de fusible...

après c'est pas de la parano... mais la je viens de recevoir un mail du ministère de l'intérieur ( le boulot ) comme quoi les risques cyber étaient encore plus élevés avec les évènements actuels...

au passage un peu de lecture en chinois
https://www.ssi.gouv.fr/guide/guide-dhy ... ormatique/

j'oubliais, le VPN consiste à créer un tunnel (chiffré) entre toi et la machine, donc c'est comme si tu créais un tuyau directement entre ton ordi et ce que tu veux voir.

[Rymode]

en "clair"
tu montes une machines qui va servir de passerelle entre ton réseau et internet ( un Raspberry PI -> c'est un tout petit ordi en gros qui tourne sur une carte SD)
tu l'allumes quand t'as besoin et tu le coupe dès que c'est fini.

Voilà une façon simple de sécuriser mon réseau en plus d'après ce que je peux voir, c'est très abordable.. Je ne comprends pas que ce ne soit pas plus connu du grand public, je n'en avait jamais entendu parler...

ça s'installe où ? entre la box et les équipements connectés par câble réseau ?

au passage un peu de lecture en chinois
https://www.ssi.gouv.fr/guide/guide-dhy ... ormatique/
j'oubliais, le VPN consiste à créer un tunnel (chiffré) entre toi et la machine, donc c'est comme si tu créais un tuyau directement entre ton ordi et ce que tu veux voir.

Merci je vais lire ça attentivement. Pour le VPN, oui j'en ai un sur le PC et le smartphone.

[clyric]

effectivement le raspberry est surtout connu des geek... c'est ce que j'utilise pour la domotique.
en général tu branches ça directement sur ton réseau ( donc câble ou wifi )