Bonjour,
Derrière un routeur qui fait du port forwarding, est-ce bon de mettre un site web accessible depuis le 'net ou pas ? EDIT: Je parle en terme de sécurité hein, pas de faisabilité.
Sachant que le port est alors “ouvert” et non pas masqué.
Il doit y avoir pas mal de retour d’expérience ici pour les deux cas donc … 
Merci d’avance pour vos avis.
Je ne l’ai jamais fait mais ce qui est certain, c’est que tu aura beaucoup moins de monde à visiter ton site web s’il faut spécifier un autre port que le 80 de l’extérieur.
Hormis le fait d’être moins visible, je ne sais pas ce que ça apporte en terme de sécurité. Par contre, faut pas non plus que se soit un prétexte pour être plus laxiste derrière au niveau de la sécurité de tes pages web par exemple.
— Fred —
Oui, on s’entend bien sur la sécurité en amont, mais je parlais de rester en port 80.
Excuse moi, j’ai pensé que tu voulais aussi changer le port 80 par un autre (d’où ma réponse un peu à côté de la plaque, désolé 
).
Mon site web est accessible depuis l’extérieur et ça fonctionne sans problème de sécurité. Ma configuration est tout ce qu’il y a de plus classique. Encore une fois, je pense que c’est au niveau de ce que tu y fait qu’il y a le plus de risques. Je serais plus attentifs aux failles éventuelles sur les pages ou à une mauvaise configuration d’un dossier protégé par un .htaccess (si c’est d’apache dont tu te sers) par exemple.
A moins d’avoir une machine avec directement une IP publique, je ne pense pas que tu ai trop le choix.
Quand à un serveur web non accessible depuis l’extérieur, il y a encore moins de chances que ça pose un problème de sécurité.
— Fred —
D’accord, et tu n’as pas spécialement plus d’attaques ?
Salut,
Je ne vois pas trop le rapport avec le port forwarding ?
Que la machine soit directement sur le net ou derrière un routeur ne change rien à mon sens. Le port est accessible, c’est tout.
[quote=“helid”]Bonjour,
Derrière un routeur qui fait du port forwarding, est-ce bon de mettre un site web accessible depuis le 'net ou pas ? EDIT: Je parle en terme de sécurité hein, pas de faisabilité.
Sachant que le port est alors “ouvert” et non pas masqué.[/quote]
Pour qu’il soit accessible il faut de tout manière que le port soit ouvert.
J’explicite: Si tu te mets derrière un routeur (la version petite boite à pas cher hein pas le cisco à 2kE) en port forwarding ton port est “ouvert” lors d’un scan de port. Sinon il est masqué/fermé.
D’après la lecture faisable sur le 'net: “DANGER” … Je voulais savoir si c’était vrai ou encore un baratin pour faire avaler la soupe aux gosses.
Ceci-dit je commence à me douter que peu de monde on fait attention à ce détail … 
[size=50](P.S. le caractère euro ne passe pas ? 
)[/size]
EDIT: @MisterFreez: tu parles d’ouvert dans le sens accessible par le 'net ou dans le sens pas masqué ? (Comme en anglais c’est le même mot c’est vrai que cela n’aide pas.)
Juste une question : quel est le danger ou l’intérêt d’un scan du port 80 sur un serveur web public ?
— Fred —
le fingerprint, vraiment entre autreS, mais au final est-ce vraiment un danger ? D’où ma question.
La question c’est " Est-ce que ton serveur est accessible s’il refuse de répondre quand il reçoit une requête sur le port d’écoute de ton serveur ? " .
A moins qu’il existe une cible de netfilter que j’ai mal compris (ou que je ne connais pas), ça n’est pas possible.
J’ai oublié de répondre à ça : non, je n’ai jamais eu de problème de sécurité avec mon serveur web. Je t’avouerais que je ne suis pas scotché à mes logs tout le temps mais je n’y ai jamais décelé d’activité anormale non plus.
Pour tout dire, la seule fois où j’ai eu un problème sur ma machine, ça a été une tentative infructueuse de bruteforce en SSH (c’est à la suite de ça que j’ai installé fail2ban et que j’ai changé de port).
— Fred —
[quote=“MisterFreez”]…
La question c’est " Est-ce que ton serveur est accessible s’il refuse de répondre quand il reçoit une requête sur le port d’écoute de ton serveur ? " .
…[/quote]
Non, en fait la question c’était si c’était dangereux au final de ne pas avoir le serveur caché (masqué, “stealth” si t’es plus franglais).
-Fred- viens de donner la première réponse (merci).
On va voir si il-y-a d’autres avis car il-y-a pleins de gens ici avec des sites qui sont dans ce cas-là.
[quote=“helid”][quote=“MisterFreez”]…
La question c’est " Est-ce que ton serveur est accessible s’il refuse de répondre quand il reçoit une requête sur le port d’écoute de ton serveur ? " .
…[/quote]
Non, en fait la question c’était si c’était dangereux au final de ne pas avoir le serveur caché (masqué, “stealth” si t’es plus franglais).[/quote]
Et moi je répond par une autre question “Est il possible d’avoir un serveur “stealth”, “masqué” (“qui joue à Splinter Cell”) ?”.
Parce que de ce que je crois en savoir si ton serveur est masqué, il ne répondras pas aux requêtes (c’est tout de suite moins intéressant d’avoir un serveur).
Si, bien sûr. Et oui, il répond aux requêtes mais que si la requête est valide, ce que n’est jamais un scan de port. C’est tout.
Mais cela fait tellement longtemps qu’on entends parler de besoin de s’hyper sécuriser … or au final, quid de la réalité ?
[size=50]Par contre personne ne fait de foin sur la vie privée, hein, c’est marrant ça.[/size]
EDIT: Heum, pour précision, ta question portait bien sur un cas générique et pas sur le cas qui m’intéresse à savoir derrière un routeur en port forwarding ? Non parce que si cela porte sur mon cas: j’en sais rien du tout car j’ai pas encore fais le test.
Tu m’étonnes 
. En même temps, personne ne peut être certain à 100% qu’il gère bien la sécurité de son affaire. En parler revient à donner quelques clés, notamment sur ce qui n’a peut être pas été fait (ou bien fait). Pour vivre heureux, certains disent qu’il faut vivre caché…
— Fred —
Celui qui ne dit rien dans un forum afin de rester “en sécurité dans son coin” car il sait que sa machine est “peut-être mal sécurisée” … n’a jamais regardé ses logs de sa vie ! 
Salut,
Je crois surtout que les attaques sur le port 80 ne sont pas les plus inquiétantes…
Au pire installe snort et “Sourcefire VRT Certified Rules”. En effet, snort, c’est plus que du snif de scan.
snort.org/
Il est installé sur ma passerelle/pare-feu. Il est tellement exigeant qui bloque régulièrement forum.debian-fr.org 
Je suis obligé de désactiver les 3/4 des règles sinon je ne surf plus…
Là tu sera tranquille, mais tu risque d’avoir beaucoup de faux négatifs…
Avoir des faux négatifs … c’est pour les admins qui veulent justifier facilement de leur salaire ? 
Je ne cherche pas à savoir comment faire pour me protéger, mais à savoir s’il y a besoin de le faire.
Merci quand même, cela m’a permis de savoir que maintenant snort est payant. 
Plus sérieusement, pourquoi il bloque ce forum ??? 
[quote=“helid”]Avoir des faux négatifs … c’est pour les admins qui veulent justifier facilement de leur salaire ? 
Je ne cherche pas à savoir comment faire pour me protéger, mais à savoir s’il y a besoin de le faire.
Merci quand même, cela m’a permis de savoir que maintenant snort est payant.
Plus sérieusement, pourquoi il bloque ce forum ??? 
[/quote]
Non, snort n’est payant que pour la partie “professionnelle” (avec support). Ça ne me pose pas de problèmes.
Je suis inscrit, je bénéficie des règles de base de snort, c’est gratuit (et libre).
Si personne n’est précis, c’est parce que ça ne sert à rien de blinder ton serveur http. La plupart des attaques se font sur le ssh ou le ftp.
Les serveurs webs sont dangereux pour les clients (scripts, codes malicieux…)…
Les règles de snort bloquent pas mal de forums (j’ai aussi été bloqué par snort sur le forum de pfsense par exemple) et de sites internet. Il suffit qu’il ne soient pas parfaitement “respectueux”, ce que personne n’est sur le net…
C’est exagéré à mon avis, et c’est pourquoi j’ai désactivé la plupart des règles. Trop de faux négatifs.
Par contre sur les scans de port, c’est pas des faux. Il m’en détecte plus de 150 par jour. IP bannies pendant 2 heures.
Tu te prend la tête pour pas grand chose. Tu ne risque rien avec ton serveur Web. 
Au pire, oblige tes clients à aller sur le 443 et désactive le 80… Mais c’est un peu lourd, tu as vraiment des infos confidentielles à protéger ?