hello
 
Je me connecte de chez moi sur le routeur à mon boulot avec Remote admin
 
Mais y'a t'il moyen ensuite de prendre le controle non plus simplement du routeur mais d'un poste quelconque du réseau local de mon boulot ??

help please

tu installe un VNC sur les autres postes de ta boite, et depuis le remonte admin de chez toi connecter sur ton ordinateur du boulot, tu te log en VNC sur les autres poste du réseau local.
 

t'as interet à te faire un ptit tunnel ssh parce que v'la la sécurité de ton réseau autrement.

 
oui j'avais pensé à la chose mais je trouve la méthode pas très noble

 
à quel niveau la sécurité laisse à désirer ??

 
les communications avec VNC se font sans le moindre cryptage, ce qui laisse à désirer.

 
Oui, mais, franchement, tu as souvent vu une interception de mots de passe en dans une trame IP contenant plein d'autre information.
 
Cela dispose que le mec soit hyper bien renseigné quand même...
 
Enfin, bon, je trouve, que c'est limite paranos le SSH pour VNC, enfin, cela n'engage que moi.
 
(Tu me dira, je suis aussi con, pour avoir le SSH sur mes serveurs SMTP et IMAP, pas à mon boulot, mais, chez moi.)

 
bah je trouve qu'un réseau d'entreprise n'a pas à devoir supporter de telles failles, VNC en liu même n'est pas très fiable, alors évitons les risques. Parce qu'une machine qui peut prendre la main sur un vnc, prend la main sur tout le réseau.

 
ok mais déjà faut un sacré niveau et une sacré motivation pour aller choper des mdp dans les trames IP, non ??
 
 
et les communication de Remote admin sont cryptées ??

 
Perso, c'est ce que je pense, de plus le mec doit pouvoir mettre ses snifer là ou il faut, donc, avoir des accès et des compétance, qui ne sont pas pour nous ici.
 
Enfin, bon, perso, j'ai déjà mis en place des VNC sans SSH sur des serveurs en ligne sur le net, et j'ai pas eu de prb constaté, mais, cela ne veut pas dire que c'est sur à 100 %, rien est sur à 100 %.
 
Mais, bon, Krapaud, cela dépend aussi de ton réseau, par exemple ou tu travaillait avant, tu n'était pas chez un prestataire qui vous fournissait le local + l'accès à internet via son LAN, donc, là, c'est normal.

eh eh eh
on reconnait bien les admins parano          
 
euh, dîtes moi si je me trompe :
 
le vnc, il le lance sur son serveur, de chez lui, certes mais il est lancé sur le serveur au boulot, puis de ce serveur, il se connecte sur des machines de son boulot..
donc y a t il vraiment de gros risques ?
ce qui passe sur l'internet, entre son pc @ home et le serveur, c'est crypté en principe (du - j'espère )?  
donc a t il vraiment besoin d'une telle sécurité sur son réseau interne ?
sinon, hop, le reseau du boulot en IPSec, puis la connexion distante de chez lui en L2TP...
 
 

 
ouais, je suis d'accord, mais je suis aussi partisan de la sécurité maximum pour un réseau d'entreprise

 
Mais bon moi c'est pas une entreprise
 
C'est un collège ...

100% raison, même en prenant un maxi de précaution les risques sont déjà suffisaments grands.
Voir à ce sujet l'évolution des types de virus, les nvx virus en temps que tel sont très peu nombreux, la grosse majorité actuelle étant des trojans et de plus en plus perfectionnés.
Avec ceux ci, il n'y a aucun besoin d'être un pro du piratage, il suffit juste de savoir lire et de selectionner une fonction dans un menu.
même si la grosse majorité des dégats informatiques sont encore causés depuis l'intérieur de l'entreprise, cette gatégorie de pirate sans connaissances utilisant des logiciels à la porté de tous arrivent en 3eme en terme de dégats.
 
Il y a un risque d'intrusion certain dans ce cas et il n'y a pas de sociètés particulièrement visées comme dans le cas d'une attaque par un pro, donc une très grosse perte d'exploitation possible pour une TPE ou PME en cas d'attaque réussie .
 
pour en revenir à VNC (limite besoin professionel car il existe des solutions plus pro d'administration à distance), et plus généralement aux trous de sécurité mis en place volontairement pour utiliser des logiciels n'ayant aucun rapport avec un besoin professionel,(peer to peer notament), il y a un très gros risque juridique dans le cas d'une attaque par un pro qui se sert de cette faille comme "portail" pour attaquer une banque, une administration, etc.. laquelle se retourne sur (x) le pirate et sur la socièté qui elle est bien plus facilement identifiée.
 
   
 
 
 
 
 

Bon je crois qu'une analogie avec le réel peut aider à garder Mesure :
 
Tu ne protège pas ta baraque ou les bureaux de ta PME comme un chateau renfermant de grandes oeuvres d'arts ou les locaux de la Brinks.
 
Tu ne vas pas protéger tout et n'importe quel lieu avec barres en titane aux fenetres, reconnaissance à la rétine à l'entrée, portes blindées en acier trempé, vigiles à chaque coin de couloir, ...
 
Et cela sous pretexte qu'il existe des supers cambrioleurs dans le monde qui arriveraient à se jouer de cela.
 
C'est idem en informatique.

 
+1

 
Justement, sans être parano, il faut bien prendre conscience du monde réel.
Recherche un peu sur internet le montant en $ des dégats et pertes d'exploitation "informatique" et compare le aux autres pertes
 
Puis ta comparaison est très bonne, tu a juste oublié de lire les clauses d'exclusion du contrat assurance informatique, comme dans la vie réel pour les vols, il suffit souvent d'avoir juste oublié d'avoir fermé la porte pour être exclus de toutes indemnités, et pour l'informatique les assurances s'adaptent au monde réel et à leurs risques, de plus en plus, la mise en place firewall et antivirus est obligatoire quand il y a connexion permanente internet, mieux, depuis la médiatisation des trous de sécurités de windows, des risques liés aux logiciels peer to peer, ces exclusions sont de plus en plus précises.
 
Il n'y a pas si longtemps, une simple police d'assurance informatique permettais de prendre en charge les frais de remise en route d'un systeme informatique sans protection particulière, croire que c'est encore le cas actuellement sans salle informatique sécurisée, sans firewall correctement configuré, ou antivirus maj etc.. c'est vraiment avoir une méconnaissance du monde réel et de faire courir des risques inacceptables quand un simple port ouvert n'ayant aucun rapport avec un besoin professionel peut, pour une PME de 10 pers, immobiliser en moyenne ces 10 pers une 1/2j ou 1 journée.
Calcul vite fait le salaire et les charges, même sans tenir compte de la perte d'exploitation, cher le port ouvert, même en tenant compte d'une seule intrusion réussie en 2-3 ans.
 
Je ne suis absolument pas parano, on ne peut actuellement pas être sécurisé à 100% mais les risques sont quand même très limités avec un minimum de moyens correctement configurés, ce minimum demande quand même un budget non négligeable et en % de chiffre d'affaire souvent plus élévé pour des TPE-PME que pour un grand compte, réduire à néant cette sécurité est encore une fois, innaceptable.
 
   
 

C'est sur aussi que l'éducation nationale n'a pas la même échelle de valeur qu'une entreprise privée, surtout quand c'est nos impots qui payent.
Puis les risques doivent être en plus vraiment faibles, car certaines universités se contentent même d'un seul administrateur réseau pour plusieurs centaines de postes, embauché et re-embauché chaque années en CDD en faisant fi de toutes les lois du travail.
Ce qui indirectement est super pour la sécurité, car en arrivant sur le marché du travail, nos petits jeunes ayant eu toutes libertés pendant x années sont devenus les rois des combines pour contourner la sécurité mis en place dans les entreprises et n'ont aucunes idées ou aucune volonté de prendre conscience des risques qu'ils génèrent pour l'entreprise.
   
 
 

 
Ca va t'énerve pas.
 
Moi je dois être dans un collège de benêts alors car leur seul acte de "hacking" est d'attendre que le prof tourne le dos pour foncer sur le site de la Star Academy.
 
Non sincèrement, le réseau du collège lambda ne réclame pas la même sécurité que celui de ElF. D'ailleurs on en a pas les moyens.

Sinon, pour revenir au sujet
 
Je viens d'installer VNC pour une simple utilisation sur le réseau local. Est-il possible que l'icone du server n'apparaisse pas sur les machines qui le font tourner ?? pour éviter que le users se permette de stopper le service.

up

 
oui, mais il suffit surtout de lancer le service depuis un compte particulier voire depuis une GPO pour que les utilisatzeurs lambda ne puissent l'arreter.

[HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\Default\]
"AllowShutdown"=dword:00000000
"AllowProperties"=dword:00000000
 
Avec ces clés, tu empêches quiconque d'arrêter le serveur vnc, ou d'accéder aux propriétés...
(bon la personne peut toujours tuer la tâche, ou aller modifier la base de registre, mais bon...)
Et aussi, dans la table de routage du routeur, ne pas oublier d?ouvrir les ports 5800 et 5900 qui permettent-le d?attaquer une machine sur un Lan via l?extérieur.

 
merci bcp