PhenIXUS

[Franck78]

Autant on ne peut rien dire sur la première raison autant la deuxième est bizarre :

deuxièmement éviter également les attaques ddos

Un ddos ca se mérite Il faut être une cible utile à une cause qui déplait au commenditaire du ddos. Tu es sur de remplir cette condition ?!

Franck

[ccnet]

Je voulais juste utiliser cette méthode afin d'éviter les tentatives de hack sur ma machine premièrement et deuxièmement éviter également les attaques ddos .

Sur le second point je n'y revient pas.
Sur le premier on est dans l'illusion totale. A partir du moment où le serveur web est accessible depuis une navigateur il n'y a qu'une seule et unique solution. Http est encapsulé dans TCP et TCP est encapsulé dans IP. Les paquets IP comportent l'adresse du demandeur (votre navigateur) et l'adresse ip de destination (votre serveur web). Point final. Un bon proxy local (Paros, Burp) et on pourra envoyer à votre serveur web tout ce que l'on veut pour le hacker, tout cela avec des gentilles requêtes http qui viennent d'un gentil navigateur. Votre histoire d'adresse ip qu'on voit, qu'on ne voit pas, ne tient pas la route une seconde comme dispositif de sécurité.

je veux utiliser le maximum de protection possible.

Celle là je l'entend presque tous les jours. Le maximum possible. La bonne protection, c'est celle qui est proportionnée à l'enjeu, plus précisément aux coûts générés par la survenance d'un risque. C'est une fausse bonne idée qui ne tient pas la route ni économiquement, ni sur le plan de l'exploitation. le bon niveau de sécurité c'est celui qui couvre les risques. A condition de les avoir identifiés et quantifié.

Cette méthode me semble utile car elle empêche d'avoir l'adresse ip réel de la machine ...

Non.

Maintenant chacun à son point de vue sur le sujet mais je pense que c'est une bonne solution que de ne pas afficher l'adresse ip de la machine A.

Compte tenu de ce que sont les protocoles, je ne vois comment un paquet ip avec une adresse de destination renseignée irait ailleurs que là où il doit aller. Translation mise à part avec les firewalls bien sûr. Vous avez peut juste découvert le nat !! A moins qu'il ne s'agisse d'un Round Robin ??

[slyfox]

Dans ce cas là comment fait cloudflare alors , ont est bien d'accord qu'il est possible de faire un ping sur un nom de domaine et d'avoir une autre adresse ip que le serveur web tout en ayant accès au serveur web via le nom de domaine ?

Parce que c'est cette thèse que je voulais mettre en pratique et il me semble que c'est du reverse dns si je ne me trompe pas .

Regardez : un exemple sur ce site : http://www.piratologie.org

ping http://www.piratologie.org --> 141.101.125.184

impossible d'avoir l'ip réel du serveur web , pourtant il est accessible .

[jdh]

On a une lecture BIEN différente de CloudFlare !

CloudFlare propose une optimisation d'accès à un site web.
La méthode est très simple :
- les éléments (statiques) du site web sont copiés sur plusieurs serveurs répartis autour du monde,
- le serveur dns de CloudFlare, qui DOIT gérer le nom de domaine, diffuse l'adresse ip la plus proche en fonction de l'origine de l'ip appelante.

Bref, en effet, l'ip indiquée n'est pas l'ip réelle du serveur.
Mais ce n'est ABSOLUMENT pas pour un but de sécurité puisque les éléments sont répliqués pour accélérer l'accès.

L'objectif est uniquement de réduire le temps de transit entre un client et un serveur.
On accède juste plus vite au contenu du site !

Pour info, l'ip annoncé (du site très fantaisiste) est géolocalisée en Suisse.
Depuis les Etats Unis ou le Japon ou l'Afrique, l'ip résolue sera sûrement différente.

Un effet identique serait obtenu via un reverse proxy.


Je pense qu'il est temps de revenir sur terre au niveau de la sécurité ...
Le site que vous indiquez trahi un certain penchant pour l'esotérie informatique ... ce n'est pas ça la sécurité, loin de là !

[slyfox]

ok merci pour l'information , j'apprends petit à petit donc c'est pas très simple mais vos opinions m'ont éclaircie les idées .

[Franck78]

Le site que vous indiquez trahi un certain penchant pour l'esotérie informatique ... ce n'est pas ça la sécurité, loin de là !

et sans doute pour se donner bonne conscience ou je ne sais quoi, le site se réfère à 'COPPA', texte américain qui s'applique aux américains... Loufoque

[ccnet]

Pour votre information l'ip de http://www.piratologie.org est indiqué dans les paquets retour de ce serveur : 141.101.124.184. Mais comme l'a expliqué Jdh cela peut changer selon le lieu où vous vous trouvez et en fonction d'autres paramètres. A la limite la connaissance de cette ip importe finalement peu si je veux m'attaquer à cette machine, il me suffit de pouvoir "parler" avec elle. En regardant quelques échanges je sais déjà qu'il s'agit d'un serveur http Nginx et non apache.

Code : Tout sélectionner

HTTP/1.1 302 Found
Server: cloudflare-nginx
Date: Sat, 30 Jun 2012 08:05:14 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
X-Powered-By: PHP/5.2.9
Expires: Sat, 1 Jan 2000 01:00:00 GMT
Last-Modified: Sat, 30 Jun 2012 08:05:12 GMT
Cache-Control: no-cache, must-revalidate
Pragma: no-cache
Set-Cookie: sonixprodmybb[lastactive]=1341043512; expires=Sun, 30-Jun-2013 08:05:12 GMT; path=/; domain=.piratologie.org
Location: http://piratologie.org/member.php?action=register

1dce
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><!-- start: index -->
<html xml:lang="fr" lang="fr" xmlns="http://www.w3.org/1999/xhtml">
<head><script type="text/javascript">
//<![CDATA[
try{if (!window.CloudFlare) { var CloudFlare=[{verbose:0,p:0,byc:0,owlid:"cf",mirage:{responsive:0,lazy:0},oracle:0,paths:{cloudflare:"/cdn-cgi/nexp/aav=1499794953/"},atok:"f3f86514cbb381781c7aed3f7a4df325",zone:"piratologie.org",rocket:"0",apps:{"exprmntly":{"service_id":"4273"},"ga_key":{"ua":"UA-23640707-1","ga_bs":"2"}}}];var a=document.createElement("script"),b=document.getElementsByTagName("script")[0];a.async=!0;a.src="//ajax.cloudflare.com/cdn-cgi/nexp/aav=3029832572/cloudflare.min.js";b.parentNode.insertBefore(a,b);}}catch(e){};
//]]>
</script>
<script type="text/javascript">
//<![CDATA[
window.__CF=window.__CF||{};window.__CF.AJS={"exprmntly":{

Par ailleurs les ports TCP 80, 443, 8080 et 8443 sont ouverts sur cette machine.

Cette url vous montrera que je peux lui parler d'une façon qui ne lui plait pas beaucoup :
http://piratologie.org/phpmyadmin.php

Enfin la lecture de cette requête dns, et surtout sa réponse, seront utiles à votre compréhension de ces mécanismes.

Code : Tout sélectionner

Queries
dssja7qsifeak.cloudfront.net: type A, class IN
Answers
dssja7qsifeak.cloudfront.net: type A, class IN, addr 54.240.172.61
dssja7qsifeak.cloudfront.net: type A, class IN, addr 54.240.172.86
dssja7qsifeak.cloudfront.net: type A, class IN, addr 54.240.172.82
dssja7qsifeak.cloudfront.net: type A, class IN, addr 54.240.172.99
dssja7qsifeak.cloudfront.net: type A, class IN, addr 54.240.172.3
dssja7qsifeak.cloudfront.net: type A, class IN, addr 54.240.172.80
dssja7qsifeak.cloudfront.net: type A, class IN, addr 54.240.172.59
dssja7qsifeak.cloudfront.net: type A, class IN, addr 54.240.172.55

Cherchons autre chose. A qui appartient ce site. Simple.
Johann Thiesson qui habite 21 avenue d'Alfortville à Choisy-le-Roi. Créateur de la société VeryGames.

impossible d'avoir l'ip réel du serveur web , pourtant il est accessible .

Comme vous le voyez il n'en est rien. Pas de sécurité dans tout cela.

[Franck78]

En regardant quelques échanges je sais déjà qu'il s'agit d'un serveur http Nginx et non apache

Oui, mais bon. C'est pas lui (le proxy de cloudfare) qui intéresse !

Caché derrière son proxy, il (piratologie) est effectivement quelque peu caché.
Pour peu que le "Johann Thiesson" ait ajouté quelqes règles firewall pour que son serveur n'accepte http/https que depuis un client "cloudfare" et voila le serveur assez caché !

[slyfox]

Donc en gros si je met un proxy sur mon vps je peux faire en sorte que mon dédié soit caché derrière alors si je comprend bien ?

[ccnet]

Oui un reverse proxy qui permet, moyennant sur Apache un module comme modsecurity, qui permet de filtrer le contenu des url envoyées au serveur. cela doit s'accompagner d'une architecture réseau adapté. Le reverse proxy dans une dmz externe, le serveur web dans une autre dmz, interne, l'ensemble contrôlé strictement par le firewall (seul le reverse peut se connecter au serveur web). Si un serveur de base de données est nécessaire, il sera aussi isolé. le firewall fera du nat pour masquer l'architecture des réseaux internes.
Encore une fois il ne s'agit pas de cacher mais de protéger des machines qui de toutes façons doivent communiquer avec l'extérieur.