1.3 Sécurisation des connexions
Nous avons maintenant tous les éléments nécessaires pour utiliser le bureau à distance. Si nous supposons que nous avons effectués les paramétrage nécessaires pour nous connecter en Bureau à distance à l'ordinateur d'adresse IP locale 192.168.1.2 depuis Internet il suffira de taper l'adresse mon_dyndns.net:3389 dans le client Bureau à distance de l'ordinateur à partir duquel on souhaite se connecter sur le poste distant.
Il faut maintenant ne pas perdre d'esprit que cet ordinateur est accessible directement depuis Internet et qu'il est susceptible de subir des attaques et des tentative de connexion par des bots ou des hackers qui chercheront à dérober des données ou s’infiltrer dans votre réseau local.
Il est donc nécessaire d’activer un minimum de sécurité.
1.3.1 - Activer le filtrage MAC
Pour limiter les intrusions dans votre réseau local via le Wi-Fi, il est possible d'activer sur une box ou un routeur un filtrages des adresses MAC de façon à empêcher une machine non déclarée de se connecter au réseau (voir paragraphe 2.3). Il est souhaitable de l’activer en permanence pour au moins éviter que vos voisins tentent de trouver votre mot de passe.
1.3.2 - Mots de passe et autorisations
Pour accéder au bureau à distance il faut notamment passer par un compte utilisateur de l'ordinateur distant. Il est donc important par précaution que tous les comptes utilisateurs de l'ordinateur distant aient un mot de passe fort (15 caractères ou plus mélangeant les chiffres, les caractères spéciaux, les minuscules et majuscules) de façon qu'ils ne soient pas facilement déchiffrés. De même pour les noms utilisateur de ces comptes il vaut mieux éviter des noms courants comme admin pour un compte administrateur pour rendre plus difficile le travail des hackers. Il est également recommandé de définir les comptes utilisateurs autorisés à se connecter et exclure les autres (important en entreprise).
Ces paramétrages sont détaillés au § 3.1.
1.3.3 - Se protéger des "bot attack"
La "boot attack" est une technique de hacking qui consiste à écrire un petit logiciel (bot) qui va automatiser des requêtes Internet et effectuer un certain nombre de tâches sans intervention humaine (analyse de contenu, recherche de failles et vulnérabilités, …).
Dans le cas du bureau à distance dont le port par défaut 3389 est donc connu, on peut imaginer un programme qui va scanner une plage d'adresses IP internet sur le port 3389 pour détecter des ports ouverts de Bureau à distance et trouver des machines potentiellement attaquables (par exemple de 90:0.0.0:3389 à 90.999.999.999:3389) A partir de là le hacker pourra utiliser d'autres outils pour trouver des failles et tenter de se connecter aux machines identifiées.
Pour limiter les risques il est donc souhaitable de modifier le port du Bureau à distance. Le hacker ne pourra pas tester automatiquement sur une plage importante d'adresses IP tous les ports (trop de combinaisons, les résultats seraient très longs à obtenir). Pour cela il sera possible d'utiliser deux paramétrages supplémentaires.
- Ne pas utiliser le port par défaut du bureau à distance sur un ordinateur. (voir paragraphe 3.2).
- Utiliser d'autres ports sur le NAT (§ 3.2.2).
1.3.4 - Chiffrer la connexion Bureau à distance
Pour encore renforcer sa sécurité on peut en plus installer un VPN pour accéder au réseau local. Ainsi on peut éviter que quelqu'un en interceptant la connexion internet puisse récupérer des données personnelles. Même si les flux du Bureau à distance sont chiffrés il peut y en avoir d’autres applications qui ne les chiffrent pas et dont les données peuvent être interceptées. Plusieurs solutions sont suggérées au paragraphe 3.3.