1 votes

Le DNS dynamique pour le bureau à distance est-il sûr ?

Je suis un peu novice mais je voulais connecter à distance mon ordinateur portable à un réseau de travail (spécifiquement pour accéder à un périphérique de stockage réseau) et je suis tombé sur l'idée d'utiliser des DNS dynamiques en raison de l'IP externe dynamique de mon environnement de travail. J'ai lu que NO-IP ou dynDNS serait un bon moyen de se connecter à distance.

Je comprends son fonctionnement, mais je ne suis pas sûr des implications en matière de sécurité. La connexion serait-elle sécurisée en cas d'accès à distance au réseau professionnel ? Existe-t-il d'autres moyens de renforcer la sécurité ?

3voto

porto alet Points 315

Le DNS dynamique ne sécurise pas votre connexion, ni ne la rend intrinsèquement non sécurisée - il ne fait que fournir une correspondance pratique entre une adresse IP (supposée changeante) et un nom d'hôte.

On pourrait faire valoir qu'il réduit légèrement la sécurité en "divulguant" des informations sur la machine sur l'internet au sens large et en facilitant une attaque MITM, mais ce risque est vraiment minime dans un contexte plus large.

Le contexte général est le suivant :

Que vous utilisiez ou non le DNS dynamique, vous devez vous assurer que les données sont cryptées en vol et que les deux parties sont authentifiées l'une par rapport à l'autre. Le DNS dynamique n'apporte aucune aide substantielle à cet égard.

Ce serait une erreur d'ouvrir un port sur votre routeur et de laisser tout ce qui connaît l'adresse IP (ou le nom de domaine) se connecter et aspirer des informations.

La solution "standard" à ce problème consisterait à créer un VPN et à l'utiliser pour connecter votre appareil distant à votre réseau local afin de communiquer avec votre NAS.

Il n'existe pas d'approche unique, et vous pouvez être limité ou libéré par les fonctionnalités de votre NAS et/ou de votre routeur. (Il est possible que l'un ou l'autre ou les deux appareils soient capables d'agir en tant que serveur VPN - si ce n'est pas le cas, vous devrez remplacer l'un d'eux, ou faire en sorte qu'ils agissent en tant que client et obtenir un autre appareil en dehors de votre réseau, et mettre en place un VPN à partir de votre LAN vers celui-ci, ainsi qu'à partir de votre ordinateur hors site.

Il est possible de se rapprocher suffisamment du but si, au lieu d'utiliser un VPN, on peut se contenter d'une connexion SCP ou SFTP (qui crypte la connexion et expose une interface), ou même d'une connexion HTTPS. (Si vous utilisez une connexion HTTPS, vous devez vous assurer que vous pouvez lui faire confiance, c'est-à-dire un certificat approprié et éventuellement une authentification côté client).

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X