bureauadistanceinternet logo2

Dans cet article qui fait suite à celui sur le Bureau à distance en réseau local, nous allons voir comment accéder à ce dernier depuis l'extérieur ainsi qu'à tous les appareils qui y sont connectés.

La plupart des paramétrages que nous allons voir ne sont pas spécifiques au Bureau à Distance, ils pourront être adaptés facilement à tout accès à une machine connectée depuis Internet (caméras de surveillance, petit site Web ou serveur FTP sur ordinateur, …). Néanmoins dès que l'on a accès à un de ses ordinateurs en Bureau à distance, on peut potentiellement accéder à tous autres appareils, à leurs données et à leur administration. 

Pour accéder au Bureau à distance depuis Internet il est indispensable avant de poursuivre d'avoir configuré un bureau à distance comme indiqué dans l'article précédemment cité. L'extension du Bureau à distance sur Internet ne va demander que des paramétrages supplémentaires qui vont concerner la configuration du réseau et la sécurité.

 

 


1 – Éléments de fonctionnement et de sécurité d'un réseau

Avant de détailler ces paramétrages, quelques rappels sur le fonctionnement des réseaux permettront de mieux comprendre les paramétrages nécessaires.


1.1 Adresses IP locales

Sur notre réseau local nous supposons que nous avons une box internet, 2 ordinateurs et un smartphone.

Chaque carte réseau de chaque machine possède une adresse MAC unique, qui est une sorte de numéro de série inscrit "en dur" sur chaque carte et qui peut être notamment accessible et lue sur un réseau. Cette adresse identifie donc une machine sur un réseau. Un PC qui a par exemple une carte Wi-Fi et une carte Ethernet a donc deux adresses MAC sur le réseau quand les cartes sont activées et connectées.

 

Supposons que les 3 machines et la box sont allumées et en réseau mais que la box est allumée mais pas encore reliée à Internet (câble débranché).

Dès sa mise en service, la Box va s'attribuer une adresse IP locale en général 192.168.1.1 (pour simplifier on ne parlera que d'adresses en IPv4, le principe reste le même en IPv6). La box va ensuite régulièrement interroger le réseau et rechercher les appareils connectés. Pour cela elle va rechercher les adresses MAC disponibles et va leur affecter une adresse IP, en principe dans l'ordre de leur découverte). Par exemple le 1er ordinateur recevra l'adresse 192.168.1.2, le smartphone l'adresse 192.168.1.3, le 2ème ordinateur l'adresse 192.168.1.3. Sur un réseau local de masque réseau 255.255.255.0 la box pourra connecter un maximum de 253 machines différentes dont la numérotation pourra aller de 192.168.1.2 à 192.168.1.254. L'adresse 192.168.1.255 est en général réservée au « broadcast » et qui est utilisée par la box pour s'adresser à toutes les machines du réseau en même temps).

Ainsi, même sans connexion internet ces 3 machines et la box qui sont en réseau local peuvent communiquer et échanger des données.

 

Par exemple si l'utilisateur du 2ème ordinateur veut se connecter en bureau à distance sur le 1er Ordinateur, il va taper l'adresse 192.168.1.2:3389. La requête va être envoyée à la box qui va s'adresser à la machine concernée et qui va par la suite gérer les flux de données entre les deux ordinateurs.

On a vu qu'une des difficultés est de connaitre l'adresse IP où se connecter. À chaque mise en service, chaque appareil pourra obtenir une adresse IP différente de celle qu'il avait la veille par exemple. Si un jour le smartphone est allumé en premier il aura l'adresse 192.168.1.2 et le premier ordinateur pourra récupérer 192.168.1.3 s'il est allumé en 2ème.  

 

1.1.1 - Définir une IP locale fixe

Le premier paramétrage que nous allons effectuer (voir paragraphe 2.2) sera celui d'attribuer grâce à l'adresse MAC notamment, toujours la même IP ("IP fixe") à une ou plusieurs machines du réseau quel que soit son rang de mise en marche.


1.2 Adresse IP publique

Nous allons maintenant relier la box à Internet.

À sa connexion, votre FAI (fournisseur d'accès Internet : Orange, Free, SFR, Bouygues, …) va attribuer à votre box une adresse IP internet appelée adresse IP  publique en IP v6 (par exemple 2c05:bd11:cd8:fa10:b885:34ce:3f50:56b8) et encore en  IP v4 (par exemple 90.21.80.192).

Cette IP publique est l'adresse internet de la box et par conséquent toutes les machines reliées à la box auront la même adresse IP publique « par héritage ».

 

La seule adresse IP connue de l'extérieur est celle de l'IP publique. Ainsi, si les 2 ordinateurs se connectent à internet sur des sites WEB, les flux seront gérés par la box. Les requêtes de chaque ordinateurs (flux sortants) passent par la box qui les enverront aux sites Web concernés. Ces sites Web ne connaitront que l'adresse IP publique de la box, ils répondront aux requêtes en s'adressant à la box (flux entrants), et c'est la box qui retournera le bon flux vers l'adresse IP locale de l'ordinateur concerné.

 

Maintenant si un utilisateur extérieur veut se connecter à votre réseau via internet et tape l'adresse IP publique 90.21.80.125 et bien il ne va rien se passer si vous n'avez rien paramétré.

 

 

 

 

Par défaut, la box va cacher les machines (adresses IP locales) qui lui sont connectées, elle ne laissera passer que les flux sortants et bloquera la plupart des flux entrants pour protéger votre réseau.

La box possède un pare feu intégré qui par défaut laisse passer les flux sortants et bloque les flux entrants sauf ceux autorisés par des paramétrages spécifiques ou pour certains programmes autorisés par l'UPNP). Se rajoutent à ce pare feu matériel le pare feu logiciel (Windows Defender ou celui que vous avez installé) qui lui aussi peut bloquer certains flux.


1.2.1 - Autoriser les connexions entrantes depuis Internet

Pour utiliser le bureau à distance ou toute autre application il va donc falloir autoriser la connexion sur l'ordinateur concerné sachant qu'il n'est pas visible depuis l'extérieur. Pour cela il va falloir demander à la box d'effectuer la passerelle pour aller sur la bonne machine de notre réseau local. Cela se fait grâce à la redirection de port (port forwarding) qui est relativement facile à mettre en œuvre sur une box en utilisant le NAT (translation d'adresse).

Sur un ordinateur chaque application qui communique sur le réseau utilise un ou plusieurs ports particuliers. Pour accéder à une application réseau il faut donc une information complémentaire à l'adresse IP qui est le numéro de port utilisé. Les numéros de port d'un ordinateur vont de de 0 à 65535 (216). Par analogie on peut assimiler l'adresse IP à l'adresse d'un immeuble et le numéro de port à une boite aux lettres. Ainsi par exemple un serveur FTP sera « logé » à l'adresse XX, port 21, le serveur Web à l'adresse XX, port 80, le bureau à distance à l''adresse XX, port 3389.

Pour le bureau à distance, on dira donc à la box d'orienter les flux du port 3389 qu'elle reçoit adresse 90.21.80.125:3389 sur un ordinateur particulier, par exemple l'ordinateur d'adresse locale 192.168.1.2. On fera de même pour un serveur FTP ou on orientera le flux arrivant sur le port 21 vers le même ou un autre ordinateur.

Ces paramétrages sont détaillés au paragraphe 2.4.  


1.2.2 - Connaitre l'IP publique

L'adresse IP publique permet d'identifier sa box ou son routeur sur Internet , d'établir une connexion internet et relier son réseau local à Internet (aussi appelé le réseau des réseaux). Le problème est maintenant de connaitre l'adresse IP publique pour pouvoir se connecter depuis Internet. Il existe aussi en effet les adresses IP dynamiques et les adresses IP statiques.

les adresses IP statiques sont des adresses IP fixes, et les adresses IP dynamiques sont automatiquement attribuées et de façon temporaire par les serveurs DHCP de votre fournisseur d'accès Internet (FAI).

  • Si votre FAI vous fournit une adresse IP publique statique, pas de problème cette adresse sera toujours la même il suffira de la retenir.
  • Si votre FAI vous fournit une adresse IP dynamique, votre adresse IP ne sera pas toujours la même, elle pourra changer au bout d'un certain temps et lors des reconnexions de la box, elle sera prise dans une plage d'adresses IP réservées par le FAI.

Pour savoir le type d'adresse IP publique que vous avez il faut consulter votre contrat avec votre FAI, consultez ce site ou interrogez régulièrement (sur plusieurs jours et après extinction longue et reconnexion de votre box) votre adresse Internet pour savoir si elle a changé.

Le plus souvent vous aurez une adresse IP dynamique.

Pour résoudre le problème de la connaissance de l'adresse IP publique si on ne dispose pas d'une IP publique statique, il faut utiliser un service de DNS dynamique, appelé souvent DynDns qui permet d'associer en temps réel votre adresse IP publique à un nom de domaine fixe et donc sans se préoccuper du changement d'adresse IP.

Le principe du DynDns est de vous attribuer un nom de domaine particulier (par exemple mon_dyndns.net) et d'associer à ce nom de domaine votre adresse IP publique. Selon le prestataire choisi l'adresse IP publique est transmise au serveur DynDns via votre box ou par l'intermédiaire de votre PC via un programme à télécharger. Ainsi vous n'avez plus besoin de connaitre l'adresse IP publique et au lieu de taper par exemple 90.21.80.195:3389 pour se connecter il suffira de taper  l'adresse mon_dyndns.net:3389 pour accéder au bureau à distance quelle que soit l'adresse IP publique du moment.

 

Il existe des fournisseurs DynDns gratuits et payants, vous pouvez consulter cet article pour plus de précisions.

Le paramétrage et l'utilisation de DynDns sont expliqués au paragraphe 2.5.


1.3 Sécurisation des connexions

Nous avons maintenant tous les éléments nécessaires pour utiliser le bureau à distance. Si nous supposons que nous avons effectués les paramétrage nécessaires pour nous connecter en Bureau à distance à l'ordinateur d'adresse IP locale 192.168.1.2 depuis Internet il suffira de taper l'adresse mon_dyndns.net:3389 dans le client Bureau à distance de l'ordinateur à partir duquel on souhaite se connecter sur le poste distant.    

Il faut maintenant ne pas perdre d'esprit que cet ordinateur est accessible directement depuis Internet et qu'il est susceptible de subir des attaques et des tentative de connexion par des bots ou des hackers qui chercheront à dérober des données ou s’infiltrer dans votre réseau local.

Il est donc nécessaire d’activer un minimum de sécurité.

1.3.1 - Activer le filtrage MAC

Pour limiter les intrusions dans votre réseau local via le Wi-Fi, il est possible d'activer sur une box ou un routeur un filtrages des adresses MAC de façon à empêcher une machine non déclarée de se connecter au réseau (voir paragraphe 2.3). Il est souhaitable de l’activer en permanence pour au moins éviter que vos voisins tentent de trouver votre mot de passe. 

1.3.2 - Mots de passe et autorisations

Pour accéder au bureau à distance il faut notamment passer par un compte utilisateur de l'ordinateur distant. Il est donc important par précaution que tous les comptes utilisateurs de l'ordinateur distant aient un mot de passe fort (15 caractères ou plus mélangeant les chiffres, les caractères spéciaux, les minuscules et majuscules) de façon qu'ils ne soient pas facilement déchiffrés. De même pour les noms utilisateur de ces comptes il vaut mieux éviter des noms courants comme admin pour un compte administrateur pour rendre plus difficile le travail des hackers. Il est également recommandé de définir les comptes utilisateurs autorisés à se connecter et exclure les autres (important en entreprise).

Ces paramétrages sont détaillés au § 3.1.   

  

1.3.3 - Se protéger des "bot attack"

La "boot attack" est une technique de hacking qui consiste à écrire un petit logiciel (bot) qui va automatiser des requêtes Internet et effectuer un certain nombre de tâches sans intervention humaine (analyse de contenu, recherche de failles et vulnérabilités, …).

Dans le cas du bureau à distance dont le port par défaut 3389 est donc connu, on peut imaginer un programme qui va scanner une plage d'adresses IP internet sur le port 3389 pour détecter des ports ouverts de Bureau à distance et trouver des machines potentiellement attaquables (par exemple de 90:0.0.0:3389 à 90.999.999.999:3389) A partir de là le hacker pourra utiliser d'autres outils pour trouver des failles et tenter de se connecter aux machines identifiées.

Pour limiter les risques il est donc souhaitable de modifier le port du Bureau à distance. Le hacker ne pourra pas tester automatiquement sur une plage importante d'adresses IP tous les ports (trop de combinaisons, les résultats seraient très longs à obtenir). Pour cela il sera possible d'utiliser deux paramétrages supplémentaires. 

  • Ne pas utiliser le port par défaut du bureau à distance sur un ordinateur. (voir paragraphe 3.2).
  • Utiliser d'autres ports sur le NAT (§ 3.2.2).

1.3.4 - Chiffrer la connexion Bureau à distance

Pour encore renforcer sa sécurité on peut en plus installer un VPN pour accéder au réseau local. Ainsi on peut éviter que quelqu'un en interceptant la connexion internet puisse récupérer des données personnelles. Même si les flux du Bureau à distance sont chiffrés il peut y en avoir d’autres applications qui ne les chiffrent pas et dont les données peuvent être interceptées. Plusieurs solutions sont suggérées au paragraphe 3.3.

 


2 – Paramétrer l'accès au Bureau à distance via Internet


2.1 - Désactiver les adresse MAC aléatoires

Lors des recherches de connexion, l'ordinateur, le smartphone ou la tablette vont emmètre des signaux de recherche Wi-Fi pour trouver un point d'accès. Ces signaux  contiennent l’adresse physique MAC de l'appareil dans le but d'y attacher une adresse IP donnée par le point d'accès.

Pour limiter le traçage et le suivi de la localisation (quand notamment la connexion a lieu dans un lieu public, un restaurant, une gare, un hôtel,…) certains appareils transmettent des adresses MAC aléatoires qui ne sont pas celles de la carte réseau.

Il est donc important dans notre cas, et pour tous les paramétrages qui vont suivre et qui impliquent l'adresse MAC de désactiver cette fonctionnalité pour ne pas rencontrer de problèmes.

  • Dans Windows il faut aller dans Paramètres -> Réseau et Internet -> Wi-Fi et désactiver "Utiliser des adresses matérielles aléatoires".

 

  • Sur une tablette ou un smartphone Android il faut aller dans Paramètres -> Connexions -> Wi-Fi, cliquer sur la roue dentée puis sur "Afficher plus" et dans "Type d'adresse MAC " choisir Adresse MAC du téléphone (à ne faire que si vous avez ajouté votre adresse MAC dans les réglages de la box).
  • Sous Linux consultez ce site.

2.2 - Définir une IP locale fixe

Il est toujours possible de définir une IP fixe locale sur une machine via les paramètres du système d'exploitation (Windows, Linux, Android, MacOs,…), Voir par exemple sur ce site. Nous n'utiliserons pas cette solution car elle possède quelques inconvénients (il faut bien gérer toutes ses machines pour éviter les conflits d'adresse, si vous vous connectez à différents réseaux comme avec un ordinateur portable ou un smartphone, il faudra  à chaque fois penser à modifier le réglage). 

Le plus simple est de faire attribuer une IP fixe via le DHCP de la box ou du routeur.

Pour cela il faut bien sûr définir l'adresse IP que l'on veut attribuer à la machine et connaitre son adresse MAC.

Sur un PC Windows dans une invite de commande tapez la commande getmac /v.

La liste de vos cartes réseau avec les adresses MAC s'affiche. Notez l'adresse MAC correspondant à la carte que vous utilisez dans la colonne « Adresse physique » (par exemple la carte Wi-Fi ou la carte Ethernet).

 

Voir ce site pour d'autres systèmes.

2.2.1 - Définir une IP locale fixe sur une Box

Nous allons voir comment faire sur une LiveBox Orange. Le processus est semblable sur toutes les box.

  • Connectez-vous à votre box via votre navigateur (en général l'adresse est 198.168.1.1). Consultez la notice de votre box pour connaitre l'identifiant et le mot de passe et éventuellement l'adresse IP).
  • Allez dans "Réseau"
  • Allez dans l'onglet DHCP. Dans la page qui s'affiche sont affichées les adresses statiques éventuellement déjà définies.
  • Pour ajouter une nouvelle adresse IP fixe saisissez dans les champs correspondants l'adresse IP souhaitée (ici 198.168.1.30) et l'adresse MAC.
  • Cliquez sur ajouter.
  • Si les saisies sont correctes la nouvelle IP fixe et l'adresse MAC s'affichent dans le tableau des "Baux DHCP statiques".
  • Cliquez éventuellement sur l'icône d'une des poubelles pour supprimer une adresse IP statique.

.

2.2.3 - Définir une IP locale fixe sur un routeur

C’est le même principe sur un routeur. Dans cet exemple, sur un routeur Netgear on va dans la configuration avancée du LAN et là on saisit les adresses IP statiques avec les adresses MAC et le nom des machines concernées. Le DHCP du routeur attribue ensuite les IP définies en fonction de l'adresse MAC et des IP locales dynamiques aux machines non déclarées.

  

 


2.3 - Le filtrage MAC

Pour sécuriser votre réseau, notamment en Wi-Fi, et éviter que des utilisateurs avec des appareils non enregistrés puissent se connecter même s'ils connaissent le mot de passe, vous pouvez activer le "filtrage MAC". Dans ce cas on enregistre le nom de l'appareil et son adresse MAC, les machines avec des adresses MAC non déclarées ne pourront pas se connecter. Cette activation n'est pas indispensable mais contribue à l'amélioration de la sécurité.

Sur une LiveBox 5, il faut aller dans le menu Wi-Fi -> Modifier les réseau Wi-Fi cliquer sur le nom de son réseau et cliquer sur "Afficher les paramètres avancés" pour accéder à la fenêtre ci-après.

Il faut activer le filtrage MAC puis ajouter les appareils autorisés en saisissant leur adresse MAC.

 


2.4 - Autoriser les connexions entrantes depuis Internet

Nous allons voir ici comment réaliser une translation d'adresse (NAT/PAT) de façon indiquer à la box ou au routeur sur quelle machine du réseau local il doit transmettre les flux concernant le Bureau à distance.

  • En réseau local il suffit de mettre l'adresse IP du PC distant pour ouvrir le Bureau à distance (par exemple 192.168.1.2:3389), la box gère directement le flux à l'adresse IP et au port indiqués.
  • Sur Internet, depuis l'extérieur on va saisir l'adresse IP publique et le port (par exemple 90.21.80.195:3389) mais il faut ensuite dire à la box avec qu'elle machine du réseau local elle doit traiter le flux (même s'il n'y en a qu'une).

Avec une translation d'adresse, on va dire à la box ou au routeur que tout flux sur le port 3389 dans notre cas doit être redirigé sur telle machine du réseau local en précisant son adresse IP locale qui pour le coup doit être statique pour ne pas changer à chaque allumage du PC.

Sur une box ou un routeur, il faut rechercher ce type de fonction dans les paramètres, en général dans une rubrique nommée "NAT/PAT" ou des menus de type ouvertures ou translations de ports.

Sur une LiveBox il faut aller dans "Réseau" et ouvrir l'onglet "NAT/PAT" et rajouter des règles.

 

Ici, par exemple on rajoute la règle de bureau à distance

  • On saisit le nom du service "Bureau à distance".
  • Le port d'arrivée de la box : 3389.
  • Le port de réception de l'ordinateur distant : 3389 (on pourrait changer le port par défaut de l'ordinateur distant (voir §3.2), ici on garde le même.
  • On choisit dans la liste déroulante le nom du PC distant (comme on a auparavant déclaré une adresse IP locale statique, celui-ci est connu de la box). Ici l'ordinateur cible a pour nom "CERES (Wi-Fi)".
  • Dans la rubrique IP externes autorisées on peut préciser les IP publiques autorisées à se connecter pour augmenter la sécurité. Comme en général on se connecte à partir d'une IP publique qu'on ne maitrise pas, ici on va laisser l'option par défaut avec aucun filtrage d'IP externe.

On valide ensuite en cliquant sur "Créer" pour valider la règle qui va s'afficher dans la liste des règles. Ces dernières une fois inscrites peuvent être activées ou désactivées en cochant la case correspondante. Noter qu'en général pour éviter tout conflit il vaut mieux éviter d'avoir plusieurs règles actives qui concernent les même numéros de ports.

Par exemple si on souhaite pouvoir se connecter en bureau à distance sur une autre machine du réseau local, sur cette machine il faudrait changer le port par défaut et choisir un port non utilisé différent de 3389.      

Sur un routeur Netgear par exemple, la procédure est similaire,  il faut aller dans le menu Avancé -> Configuration avancée et choisir "Ouverture de port/Déclenchement de port".

Dans cet exemple le routeur va diriger le flux sur la machine appelée TITANIA d'adresse locale 172.20.0.120 toujours sur les ports 3389.

 


2.5 - Connaitre l'IP publique

Comme on l'a vue précédemment au § 1.2.3, la difficulté est de connaitre l'adresse IP publique de l'ordinateur cible quand elle est susceptible de changer.

Pour cela on va utiliser un service DynDns. 

On va prendre un exemple avec le service NO-IP à l'adresse https://www.noip.com/ (voir ce site pour consulter d'autres fournisseurs).

En général ces sites vous donnent un nom de domaine qui va pointer sur l'adresse IP dynamique. Cette dernière va être transmise par la box ou un logiciel à installer sur le PC qui va se charger de transmettre l'adresse IP dynamique au nom de domaine  qui vous a été attribué.

Par exemple, sur le site noip vous devez créer un compte, il y a une option payante et une option gratuite. Vous trouverez ici un tutoriel sur comment avoir une adresse IP fixe à partir d'une IP dynamique, suivez le avant de poursuivre.

Nous allons voir comment implémenter DynDns sur une box ou un routeur (on suppose que vous avez reçu un nom de domaine sur noip après vous avoir inscrit), cette solution est plus pratique que l'utilisation d'un logiciel qui impose au PC d'être allumé pour pouvoir transmettre son adresse IP publique.

Sur une LiveBox Orange on va dans le menu réseau et cette fois on va sur l'onglet DynDns.

On clique sur la liste déroulante (repère 1) pour choisir le fournisseur No-IP (ou celui ou vous vous êtes inscrit, il faut qu'il soit dans la liste).

Ensuite il faut renseigner les éléments qui vous ont été fournis  lors de l'inscription au service :

  • Le nom de domaine ici par exemple jpw-1878ddns.net.
  • Le mail ou le nom utilisateur que vous avez donné lors de l'inscription.
  • Le mot de passe de connexion.

Il faut ensuite cliquer sur "Enregistrer" pour valider l'opération et afficher le service.  

 

 

Dans cet exemple, il suffira dorénavant de taper jpw-1878ddns.net:3389 dans le logiciel client pour se connecter en bureau à distance à l'ordinateur concerné depuis n'importe où dans le monde.  


3 – Renforcer la sécurité du Bureau à distance sur Internet

Si vous avez suivi ce qui précède vous pouvez maintenant accéder à un bureau à distance depuis Internet. Nous allons voir dans ce chapitre comment améliorer la sécurité.


3.1 - Mots de passe et  autorisations

Le premier paramétrage de sécurité à faire et de renforcer tous les mots de passe des comptes  utilisateurs de l'ordinateur cible pour éviter  qu'un hacker les trouve facilement et arrive à se connecter à votre machine. Par précaution mettez des mots de passe sur tous les comptes.

Il est possible également de définir les comptes utilisateurs autorisés à se connecter (et donc interdire à d'autre compte la connexion à distance.

Pour cela dans la barre de recherche de Windows tapez "Outils d'administration" sous Windows 10 ou "Outils Windows" sous Windows 11.

Cherchez l'application "Gestion de l'ordinateur" et lancez-là en mode administrateur.

  • Dans le panneau de gauche cherchez et déroulez "Utilisateurs et groupes locaux" et cliquez sur "Groupe" (repère 1).
  • Dans le panneau central localisez "Utilisateurs du Bureau à distance", faites un clic droit dessus et cliquez sur "Ajouter au Groupe" (repère 2).
  • Une première fenêtre s'ouvre avec l'affichage des comptes autorisés ( le compte administrateur, autorisé d'office n'est pas listé).
  • Vous pouvez sélectionner un utilisateur et cliquer sur le bouton "Supprimer" pour l'exclure du Bureau à distance (repère 3).
  • En cliquant sur le bouton "Ajouter" (repère 3) une 2ème petite fenêtre s'ouvre.
  • Entrez le nom d'un compte utilisateur existant (repère 4) et cliquez sur "Vérifier les noms" (repère 5). Si le nom est correct et existe, la fenêtre ne signale pas d'erreur et affiche le nom précédé du nom d'utilisateur. Cliquez sur OK pour valider.

    


3.2 - Se protéger des "bot attack" en changeant le port par défaut

3.2.1 – Sur Windows

Une des solutions pour améliorer la protection contre les "bot attack" (voir § 1.3.3) est de changer le port par défaut du bureau à distance et d'en choisir un différent de 3389.

Dans Windows pour changer ce port il faut modifier la base de registre. Comme toujours avant de manipuler la base de registre et par mesure de sécurité faites une sauvegarde de votre système ou un point de restauration de façon à pouvoir revenir en arrière en cas d'erreur de manipulation.

  • Dans une invite de commande en mode administrateur, tapez regedit pour lancer l'éditeur de registre.
  • Allez jusqu’à la clé indiquée ci-après (ou copier-coller le lien ci-après dans la barre d'adresse de regedit pour y accéder directement:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
  • Cherchez la clé PortNumber (NuméroPort)
  • Faites un clic droit dessus, choisissez "Modifier" pour ouvrir la boite de dialogue de modification et sélectionnez "Décimal".
  • Entrez le numéro du nouveau port que vous avez choisi puis cliquez sur "OK".
  • Quittez regedit et redémarrez l'ordinateur.

Vérifiez que le nouveau port est bien activé en allant dans les paramètres Windows (Paramètres ->Système -> Bureau à distance -> Paramètres avancés) ou dans une invite PowerShell lancez la commande suivante :

Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber"

Lors de la prochaine connexion au Bureau à distance il faudra préciser le nouveau port.

Assurez-vous que le port choisi n'est pas utilisé par une autre application (par exemple avec un outil comme nmap). Vérifiez également la configuration de votre pare feu pour autoriser la connexion sur ce nouveau numéro de port.

 

3.2.2 – Sur Linux

S'assurer que XRDP est bien installé en tapant dans une invite de commande :

Sudo systemctl status xrdp.

S'il XRDP n'est pas installé vous pouvez l'installer avec la commande: sudo apt install xrdp. Il faut ensuite taper la commande Sudo systemctl enable xrdp  pour l'activer puis relancer la machine.

Il faudra ensuite installer une interface graphique comme Remmina (voir l'article Bureau à distance en réseau local)

Faites un essai, en cas de problème (écran noir) essayez les commandes suivantes à la suite de l'autre pour régler le problème :

  • sudo nano /etc/xrdp/startwm.sh
  • sudo export $(dbus-launch)
  • sudo systemctl restart xrdprm

Pour Changer le port xrdp il faut modifier le fichier xrdp.ini dans le répertoire /etc/xrdp/ avec un éditeur de texte ou encore via la commande : sudo vim /etc/xrdp/xrdp.ini

Dans ce fichier on cherche port=3389 et on remplace 3389 par le nouveau port. On enregistre ensuite le fichier pour valider le changement.

Il faut relancer le service XRDP pour que le nouveau port soit pris en compte avec la commande : Sudo systemctl restart xrdp

Il faut ensuite autoriser le nouveau port dans le pare feu de Linux.

Taper la commande : Sudo ufw allow 12345 (si 12345 est la valeur du nouveau port).

Tapez la commande suivante pour vérifier que le nouveau port est utilisé : sudo ufw status

puis la commande suivante pour recharger et mettre à jour les règles : sudo ufw reload

Pour des informations complémentaires vous pouvez consulter ce site.

 


3.3 – Translation de port NAT/PAT

Il faut ne pas oublier de mettre à jour la translation de port (NAT) sur votre box ou votre routeur pour bien rediriger le flux sur le bon port.

Au § 2.4 on avait mis comme port d'entrée 3389 et une redirection sur le port 3389 de la machine cible également.

Si vous changez le port par défaut  sur la machine cible en 4405 par exemple, il faudra mettre cette fois-ci comme port d'entrée 3389 et une redirection sur le port 4405 de la  cible.

Pour améliorer encore la sécurité, il est conseillé de modifier de modifier le port d'arrivée de la box ou du routeur. Si on prend par exemple 3403, on mettra donc comme port d'entrée 3403 et une redirection sur le port 4405.

Pour accéder via Internet au bureau à distance, pour reprendre l'exemple précédent, on saisira  jpw-1878ddns.net :3403 ou 90.21.80.195:3403 dans le client de connexion.


3.4 - Chiffrer la connexion de l'accès au réseau local

Pour mieux protéger l'accès à notre réseau local on peut créer un tunnel VPN qui chiffrera les flux de données et limitera les risques de piratage et de vol de données.

La solution d'installer un VPN sur un réseau local est très intéressante notamment si l'on possède des objets connectés (appareil ménagers, babyphones, caméra de surveillance IP, télévision connectée…) qui ne possèdent pas d'antivirus et de pare feu. Tous ces appareils seront mieux protégés des accès extérieurs.   

Il existe de nombreuses possibilités pour installer un VPN permettant d'accéder à son réseau local depuis l'extérieur.

 

3.4.1 - VPN avec un Routeur ou une Box

Beaucoup de routeurs et certaines box ont une fonction qui permet d'activer un VPN. Toutes les connexions entrantes et sortantes de tous les appareils du réseau alors sont protégées. Il faut en général télécharger un client OpenVPN et un fichier de configuration pour activer cette fonctionnalité. Les procédures varient selon les types de routeur, elles ne sont pas toujours très faciles à comprendre d'autant plus que les documentations sont le plus souvent en anglais.

 

 

Vous trouverez sur cette page quelques vidéos explicatives.

 

3.4.2 – Le réseau Mesh de Nord VPN

Si vous êtes abonné à NordVpn vous avez la possibilité d'utiliser sa fonctionnalité "réseau mesh" qui permet très facilement de créer un réseau virtuel protégé de plusieurs ordinateurs répartis n'importe où dans le monde.

 

3.4.3 – Installer un VPN sur un serveur

Une autre possibilité, plus classique, est d'installer sur un serveur VPN  (sur un ordinateur, un Raspberry ou sur le Web) qui vous appartiendra. Cette solution n'est finalement pas très compliquée, elle utilise encore le protocole OpenVpn (tutoriel sur ce site).

 

3.4.4 – VPN sur un NAS Synology

Si vous possédez un NAS  vous pouvez aussi l'utiliser comme serveur VPN. C'est sans doute une des solutions les plus faciles à mettre en œuvre.

Pour ne pas surcharger cet article et la vidéo associée voici plusieurs vidéos très bien faites et complètes montrant comment configurer et utiliser un serveur VPN sur un NAS Synology.

 

3.4.5 – Utiliser le VPN open source Wireguard

Cet article : Connexion à distance entre 2 PC avec le VPN Wireguard montre comment utiliser le VPN Wireguard pour établir une connexion très sécurisée entre des postes Windows à travers Internet.


4 – Démarrer un ordinateur à distance

Pouvoir démarrer un PC de n’importe où et n’importe quand, sans devoir être présent physiquement peut être particulièrement intéressant dans le cadre de l'utilisation d'un Bureau à distance.

L'équipement de votre ordinateur doit le permettre (notamment sa carte mère) et le PC doit être branché sur une prise électrique alimentée.

Pour allumer un PC à distance on utilise ce qu'on appelle le "wake on lan" ou "wake on wan"  selon qu'on est sur un réseau local ou sur Internet. Il est également possible de démarrer un NAS avec ce principe.

Cela consiste à envoyer sur l'ordinateur distant un "paquet magique", en fait une trame réseau particulière (contient 6 fois la valeur: FF FF FF FF FF FF, et 16 fois l'adresse MAC du PC distant). C'est cette trame qui va allumer l'ordinateur cible via sa carte Ethernet.

Pour cela il faut réaliser quelques paramétrages :

  • Aller dans le BIOS, le plus souvent dans une rubrique ou menu qui ressemble à "Power Management" et activer la fonction de "Wake On Lan". Celle-ci peut avoir plusieurs noms comme Wake up event, Remote Wake Up, WOL, …. Il faut parfois aussi activer "PCI Device Power" s'il est présent.
  • Il faut ensuite configurer une IP locale fixe pour l'ordinateur. Cela a dû déjà être fait si on utilise le Bureau à distance.
  • IL faut mettre en place une fois de plus une redirection de port sur la box ou le routeur (protocole UDP) pour diriger le fameux paquet magique sur le port n°7 (parfois 9) de l'ordinateur. Ce paquet magique peut être envoyé sur n'importe quel port de la box ou du routeur mais doit être obligatoirement redirigé sur le port n°7 ou n°9 du PC selon le cas.

Sur Windows Il faut parfois modifier les propriétés de la carte :

Allez dans Paramètres -> Réseau et Internet -> Centre Réseau et partage

  • Dans Centre de réseau et partage cliquez sur "Modifier les paramètres de la carte" sur le panneau de gauche.
  • Faites un clic droit sur l’icône de votre carte active (en général intitulé appelée Ethernet et cliquez dans la petite fenêtre qui s'ouvre cliquez sur "Propriétés".
  • Dans l’onglet "Gestion de réseau", cliquez sur "Configurer".
  • Dans l’onglet "Avancé", parcourez la liste jusqu’à l'item appelé "Wake on Magic Packet" ou "Réveil sur Magic Packet". Si cet item n'existe pas, il est possible que votre carte ne soit pas compatible avec cette fonctionnalité.
  • Sélectionnez cet item et mettez la valeur "Activé" et validez en cliquant sur le bouton OK.

 

Par la suite il faut installer une application capable d'envoyer le paquet magique depuis votre smartphone ou un ordinateur qui doit "réveiller" le PC distant.

  • Sur un smartphone vous pouvez utiliser l'application Wake on Lan qu'on peut trouver sur le Play-Store de Google (il faudra rentrer l'adresse MAC du PC distant, l'adresse IP publique ou le nom de domaine de connexion et préciser le N° de port ).

  • Sur un PC in existe plusieurs outils comme "wake on lanv1" ou celui de Nirsoft "WakeMeOnLan". Il faudra entrer encore l'adresse MAC, l'IP ou l'URL et le port du paquet magique. Pour le masque réseau (Subnet Mask) la valeur est en général "255.255.255.0" pour un réseau local de particulier.

Aucun commentaire

We use cookies
Ce site utilise des cookies. Certains sont essentiels au fonctionnement et d’autres peuvent être placés par des services externes (captchas) intégrés. Vous pouvez décider d'autoriser ou non les cookies. Si vous les rejetez certaines fonctionnalités seront désactivées comme par exemple les vidéos YouTube et des problèmes d'authentification pourront alors survenir.