Bonjour à toutes et à tous !
 
Je suis domoticien et comme vous le savez la maison est accessible depuis l'extérieur via internet, car la plupart des modules d'éclairage ou de chauffage ont une adresse ip.
La gestion par internet devient alors possible par simples ouvertures de ports de la "box".
 
mais mon problème est de sécuriser cette connexion :
 
Résumé de situation
 
La domotique est accessible depuis le LAN, via leur propre adresse IP, et donc depuis le net, via la redirection de ports sur le routeur et l'application d'un nom de domaine dynDNS.  
 
Objectif: Permettre, par un simple navigateur web, d'acceder à sa maison.
 
 
Cependant, la question de sécurité du LAN est vite remise en question : n'importe qui peut acceder à la domotique simplement en tapant le nom de domaine.  Choqué

Objectif 2: Sécuriser le réseau de l'extérieur (on considère que l'intérieur est sain)
 
 
Solution appliquée:
 
-ouverture (seule) du port 80, redirigée vers un serveur HTTP Apache.
Le client se retrouve directement avec une demande de mot de passe et login (grâce à .htpasswd et htaccess) pour acceder à une page htm proposant les différents services domotiques.  
 
>je m'attendais qu'avec la fonction URL de la page, je peux rediriger le client directement vers le service domotique concerné (exemple: l'adresse ip de la Caméra) sans avoir à ouvrir des nouveaux ports sur le routeur (donc garantir une sécurité supplémentaire).
<a href="192.168.1.4:8081"> Observer (Cam IP)</a>
 
Malheuresement, avec cette disposition, l'IP de la cam est privée et inaccessible depuis l'exterieure sans ouvrir le port 8081 (par exemple) et le rediriger sur l'adresse ip.
Cela impliquerait une faille de sécurité: on pourrait court-circuiter le contrôle d'accès juste en tapant directement la bonne adresse : XXX.XXX.XXX.XXX:8081 dans le navigateur (XXX.XXX.XXX.XXX est l'adresse du routeur)  
 
 
Mon directeur de formation m'a alors parlé de :
-iframes, malheuresement, elles comportent aussi une ouverture de port supplémentaire sur l'intérieur du réseau
-PHP dynamique "pompant" directement le contenu de la page de la cam pour l'afficher sur la page du serveur web (ce dont j'émets quelques doutes quant à la possibilite de faire ça pour mon niveau)  
 
 
Après de grosses recherches, il semblerait possible d'utiliser directement, je cite :
 
"Deuxième possibilité: faire travailler IIS en proxy. Pour cela il faut un composant additionnel comme par exemple le bien nommé iis proxy de l'excellent pstrush (http://www.iisproxy.net/download.html)
Le principe: toutes les requêtes arrivent sur le IIS, celles qui pointent vers un repertoire nommé camera (par exemple) sont interceptées par le filtre isapi, qui lui va chercher la page de la caméra, réécrit toutes les références (liens, images, etc..) comme si elles venaient de IIS lui même et renvoi le tout au navigateur"
 
C'est là que vous entrez en action: quels sont selon vous, les meilleurs solutions pour sécuriser le réseau (authentification, par exemple) de l'extérieur ?
 
 
Merci !

Tu pourrais "encapsuler" les fonctions de tes appareils en développant des pages d'admin sur ton serveur Apache et des fonctions qui vont "taper" sur tes appareils et récupérer des infos en retour. (mais oui ça demande des notions en programmation).
 
Tu peux aussi configurer ton Apache en reverse proxy, c'est justement fait pour aller "récupérer" des pages sur des serveurs non accessibles directement de l'extérieur.
 
Enfin la je ne fais que répéter (et peut être un peu compléter) ce que tu as dit.
 
Concernant la sécurisation, je dirais qu'à ton niveau un simple htaccess fera l'affaire. Si tu n'as pas trop de notions de code, en essayant de faire mieux, tu te retrouveras avec des pages comprenant des failles de sécurité.
 
Edit - C'est un post qui aurait sa place en cat Soho plutôt que pro.

Je te remercie ccp6128, j'ai bien pris en note tes conseils

La solution la plus simple et la plus securisée serait un VPN (que ce soit SSL ou autre).

Ce sujet a été déplacé de la catégorie Systèmes & Réseaux Pro vers la categorie Réseaux grand public / SoHo par Krapaud