Stopper l'indiscrétion de vos périphériques sur votre réseau local

Publié
Commentaires Aucun

On n’est pas tranquille même chez soi

En surveillant un peu le réseau chez soi, on s’aperçoit que beaucoup d’appareils apparemment assez statiques ou anodins ont une activité assez surprenante et cachée.

espion.jpg

C’est par exemple le cas de

  1. mon imprimante HP qui discute en permanence avec les serveurs HP (en particulier quand je scanne ou que je photocopie)
  2. mes prises électriques pilotées Chacon
  3. mes cameras de surveillance
  4. et bien d’autres encore, sans parler de l’internet des objets

Premier réflexe, on va couper les ports que l’on ne souhaite pas voir exploités par les appareils, dans la configuration de la box internet.

Livebox

Là, ça se complique puisque dans la plupart des cas, le filtrage proposé par les boxes est :

  1. Je permet toutes les communications vers l’extérieur
  2. Je coupe toutes les communications vers l’extérieur

Si vous êtes dans ce cas, la solution est donc de couper tout accès vers l’extérieur.
cependant pour certains périphériques, nous devons laisser quelques accès ouverts, c’est le cas notamment de l’envoi d’ e mail pour la camera

N’oubliez pas que pour accéder à votre NAS interne ou à votre camera, plutôt que de laisser les ports ouvert depuis l’extérieur ou des robots peuvent tenter de cracker vos mots de passe ou explorer des failles du matériel, il vaut mieux tout bloquer et accéder à vos périphériques en utilisant un VPN comme indiqué ici

camera.jpg

Mais alors comment faire pour envoyer des Email ?

On va installer un relais e mail sur le Raspberry pi pour permettre au réseau local d’envoyer des e mails sans que le périphérique ait accès à Internet.

Pour cela on va utiliser postfix

  • Installation de postfix
apt-get update
 apt-get install postfix

  • Configuration

nano /etc/postfix/main.cf 
# See /usr/share/postfix/main.cf.dist for a commented, more complete version

# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = votre_domaine
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
#mydestination = votre_domain, localhost.localdomain, localhost
relayhost = mail.gandi.net:587
#mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mynetworks = 192.168.1.0/24 127.0.0.0/8
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/saslpasswd
smtp_always_send_ehlo = yes

*Explication

  • relayhost = mail.gandi.net:587
    L’adresse de votre serveur de messagerie: port d’écoute

Attention le port habituel est le port 25, mais pour éviter le spam, la plupart des FAI bloquent ce port, il existe donc un port alternatif (ici le port 587) chez votre fournisseur d’ email

  • mynetworks = 192.168.1.0/24 127.0.0.0/8
    Les réseaux qui sont écoutés par le relais, et seuls ces réseaux seront autorisés à envoyer des emails
  • smtp_sasl_password_maps = hash:/etc/postfix/saslpasswd
    Le fichier qui va contenir vos identifiants pour accéder au serveur d’ e mails sous la forme:
    mail.gandi.net votre_adresse_email:Votre_mot_de_passe
  • une fois que tout est configuré, on démarre le service
service postfix start
  • Les logs sont ici
tail -f /var/log/mail.log

En cas de problèmes de droit d’écriture sur les répertoires

Il est possible de voir quelques message de warning dans les logs tels que :

postdrop: warning: mail_queue_enter: create file maildrop/xxxx.xxxx: Permission denied postdrop: warning: mail_queue_enter: create file maildrop/yyyy.yyyy: Permission denied

Cette erreur survient quand postfix n’a pas les droits pour écrire dans le répertoire “maildrop” et est donc ainsi incapable d’envoyer des emails.
Cela est du à un réglage incorrect des droits sur les fichiers du répertoire ‘maildrop’
Par exemple le répertoire “maildrop” n’appartient pas au compte ‘postfix’.

Vérifiez les permission et appartenance sur les fichiers postfix :

/etc/init.d/postfix check
postfix/postfix-script: warning: not owned by postfix: /var/spool/postfix/public postfix/postfix-script: warning: not owned by postfix: /var/spool/postfix/maildrop

Solution:

  • Arrêtez le service postfix :
 /etc/init.d/postfix stop
  • Tuez les process postdrop :
killall -9 postdrop
  • Corrigez les droits sur les répertoires :
 chown postfix.postdrop /var/spool/postfix/public -R
 chown postfix.postdrop /var/spool/postfix/maildrop -R

  • Redemarrez le service postfix :

/etc/init.d/postfix start

Configurer le client email

Il faut maintenant configurer le client email de votre périphérique
Par exemple, pour configurer le client email de votre camera

client_email.jpg

  • port 25 c’est le port d’écoute de votre Raspberry
  • smtp server l’adresse ip de votre Raspberry
  • sender email le nom qui apparaîtra dans l’expéditeur du message
  • Receiver email l’adresse email du compte à qui vous envoyez l’ email

Et voilà

Auteur

Commentaires

Commentaires fermés pour cet article.

← Plus anciens Plus récents →