Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 25/05/2011, à 12:57

yann458

Securiser la machine guest

Rebonjour,

Sous VBOX j'ai ma machine guest relié par réseau virtuel NAT,
pour le mettre à l'abri des pirates , souvent je travaille hors-ligne ( réseau deconnecter depuis le gestionnaire VM de VBOX) ,
Quand j'utilise Internet ,je le fais souvent depuis ma machine hôte.
Tous cela pour sécuriser mes fichiers.

Mais parfois  je suis obliger d'activer le réseau , pour cela ma machine guest n'est plus à l'abri des pirates qu'ils voudraient éventuellement voler le contenue de mes fichiers ,
pour sécuriser d'avantage ma machine guest  une solution s'impose : commuter sur Réseau interne (réseau hôte uniquement) au lieu de réseau NAT , et j'accéde à ma messagerie et à Internet via un proxy.

Connaissez - vous un bon proxy pour Ubuntu qui fait port (FTP,Messagerie,Web,HTTP,HTTPS) ?

Merci

Hors ligne

#2 Le 25/05/2011, à 22:19

ssdg

Re : Securiser la machine guest

Hum, je ne comprends pas bien, que fait un proxy de plus qu'un (aussi proxy) NAT ne fait pas?

Le proxy en question a t'il des actions "en plus" comme par exemple un filtrage antivirus. (vérifie tu tous les protocoles même ceux chiffrés?)

Pour information:
NAT = Network Address Translation. En l'occurence, il s'agit "théoriquement" de simplement changer l'adresse IP visible de la machine "derrière"[1] pour une autre adresse qui elle est publique.

Dans les faits, il s'agit de traduction d'adresse et de port, la machine dèrrière demande à ouvrir une connection, la machine (PC/routeur/grille-pain réseau) ouvre un port "à lui" et répète bêtement d'un port à l'autre en changant à la volée les informations de type adresse/port pour que les deux participants ne remarquent rien ou presque. Mais cette action automatique ne se fait que sur les connections sortantes.

Ce qui veut dire que si quelqu'un veut passer par un port ouvert, il arrivera sur la machine qui a demandé à l'ouvrir. (tu télécharge (tu demande à un serveur distant un fichier: connection sortante) sur les deux machines un fichier assez lourd, sur ta machine hote, deux ports sont ouvert, l'un mêne  firefox, l'autre à firefox dans ta VM)
Mais s'il veut passer par un port "en attente" comme par exemple le port 80 sur un serveur web en local (les autres demandent, lui attend juste: connection entrante), par défaut, ce dernier est ouvert sur la machine invitée, mais personne n'a dit à la machine hôte de faire le relai. Du coup, si quelqu'un s'amuse à envoyer des requêtes, la machine hôte le rembarera, l'autre ne remarquera rien (ou peut être un ralentissement des performances)

Par contre, si ta machine hôte est corrompue, ta machine invitée le sera tôt ou tard si l'attaquant la découvre et veut y entrer Quitte à attendre que tu la lance toi même (si les fichiers de disques virtuels sont chiffrés par ex).

[1] Celle qui est dérrière une box d'un FAI qui en général font NAT nativement en mode routeur, ou dérrière la gestion du réseau de Virtualbox/Qemu/VMware qui transforment ta machine physique en routeur de FAI en plus de ces autres missions.

s'il n'y a pas de solution, c'est qu'il n'y a pas de problème... ou pas.

Hors ligne

Pages : 1