Supervision, enregistrement, accès à distance, caméra

[DPM]

Suite au hacking de ma connexion VNC dont j'avais parlé ici (la DGSI m'avait contacté aussi), j'ai installé le VPN Wireguard... plus aucun problème, je lance le VPN avant la connexion VNC. Il faut bien arrêter le VPN une fois la supervision achevée sinon la batterie du téléphone s'épuise vite

[ls32]

bonjour,
c'est pas de chance.
perso je fais avec openvpn et une IP fixe chez moi pour la programmation a distance et rustdesk pour le contrôle a distance, c'est la même chose que treamviewer en gratuit (opensource)
quand j'ai besoin de modifier l'automatisme, sur l'ordinateur distant je démarre le vpn et de chez moi je peut faire ce que j'ai besoin.
si je suis en déplacement, toujours avec openvpn sur mon téléphone, je me connecte chez moi et avec le partage de comm du téléphone, j'ai accès a l'automate de n'importe ou dans le monde.

en général il faut ajouter un petit routeur dans la centrale et tout brancher derrière celui-ci car les box de FAI sont tellement bien faites que ... ça ne marche presque jamais !!!

ensuite, chez soi, il faut une IP fixe et également un routeur "opensource" ou un boitier spécial vpn.
bizarrement, toutes les box des FAI ne font pas serveur vpn, seulement client, pourquoi ???

c'est vraiment pas simple a paramétrer (j'y ai passé des heures !) mais ça fonctionne super bien (depuis 3 ans j'ai jamais rien retouché)

j'ai 3 installations comme cela dont une avec plusieurs utilisateurs a distances et jamais un souci.

je ne sais pas si je peux mais je donne les liens du matériel si jamais.

chez moi et le client avec plusieurs utilisateurs avec openwrt:


chez un autre qui n'a pas internet donc modem 3g re-flashé avec openwrt:


le dernier ou il y a déjà une connexion internet:


si vous n'y connaissez pas grand chose en informatique, ne vous lancé pas, c'est pas extrêmement compliqué mais c'est long et a la moindre erreur il faut souvent recommencer au début.
il faut installer openwrt sur le matériel, installer openvpn, générer les clefs de connexion, paramétrer les routeurs, modifier les fichiers de connexions, ...
heureusement il y a des tutos mais aucun n'est bon jusqu’à la fin, ancienne version de logiciel, bug, ...
ensuite pour le paramétrage il faut connaitre un peu

[pierre]

Bonjour,
J avais exprimé quelques problèmes suite à l installation de mon nouvel écran CMT, écran qui reste allumé et parfois message qui m indique que vnc est inaccessible (obligé d uploader le programme à distance). Ça vient de m arriver sur place et une connexion vnc était détecté... et c etait pas moi.
Je ne sais aussi comment marche le déconnexion automatique vnc activé .
Je ne suis pas assez caler pour suivre vos solutions anti pirate. Je vais changer le mdp et surtout j ai mis 2 lignes de codes dans une macro de déconnecter et reconnecter vnc toutes les 2h. Je croise les doigts mais semble efficace depuis 10 jours.
Savez vous si je peux aussi modifier le port 5900 côté écran? Car c est trop simple de repérer.
Salutations
Pierre

[dB-)]

Bonjour,

j'ai aussi noté une sérieuse recrudescence (explosion ?) des tentatives de connexions pirates à mes différents appareils connectés au Web, que ce soit des modems ADSL-fibre-4G, des serveurs de pages Web, VNC ou encore des connexions M2M ("Machine to Machine")

91.238.103.104 IP Address Details - IPinfo.io.pdf

Il y a quelques années c'était vraiment tranquille et un simple mot de passe VNC suffisait, aujourd'hui c'est fini, et j'ai déjà proposé quelques solutions ici

Je ne sais aussi comment marche le déconnexion automatique vnc activé

Il faut contacter l'auteur de votre application, sur les HMI Crouzet (Weintec) la temporisation avant déconnexion automatique est paramétrable de 0 à 255 minutes dans le logiciel de développement

Je vais changer le mdp

Tout à fait, sur les écrans ci-dessus on peut utiliser un mot de passe VNC allant jusqu'à 8 chiffres, et je crois qu'après 3 mauvais mots de passe consécutifs l'écran se bloque 10 minutes (?), donc scan total en (99999999 / 3) * 10 minutes soit un peu plus d'un an .. (en fait moins, sauf si le pirate n'a vraiment pas de chance dans la vie ..). L'inconvénient d'un mot de passe long est que le pirate besogneux (ou plutôt son robot) va tester successivement tous les mots de passe, et donc bloquer en permanence l'accès VNC (car l'écran se verrouille)

j ai mis 2 lignes de codes dans une macro de déconnecter et reconnecter vnc toutes les 2h

C'est une possibilité, mais je trouve préférable de laisser l'accès VNC libre vers un simple écran d'informations (niveaux, puissance, ..), avec un MDP simple ou même sans, et de protéger l'accès à la page de réglages par un mot de passe qui lui peut être sérieux (cette fois ci au niveau HMI et non plus VNC), mais facile à retenir, du genre "ceciestunP*deMDPetjesouhaitebeaucoupdechanceauxpirates"

Encore mieux, l'accès à la page de réglages peut aussi se faire sans texte (la liaison n'étant pas cryptée) via un ou plusieurs boutons cachés, par exemple il faut cliquer pendant 10 s d'affilée sur tel endroit de l'écran pour faire apparaître le menu réglages, ou la demande de MDP pour accéder à ce menu..

Autre solution, chez un client j'avais utilisé un MDP simple pour l'accès VNC (4 chiffres), la page d'accès donnait les informations essentielles, et affichait un clavier virtuel : il fallait cliquer sur les touches pour entrer les 6 chiffres du MDP HMI donnant accès aux réglages .. Donc pas de transmission de texte, ça peut aussi se pirater mais ça demande un peu plus de temps et de savoir faire ..

Il y a quantités de solutions, on peut même imaginer une double identification avec envoi d'un SMS (comme pour les accès bancaires), certains modems permettent aussi des commandes par SMS, par exemple un SMS pour ouvrir tel port, puis accès VNC, puis un SMS pour fermer le port ...

L'équilibre à trouver est d'empêcher les accès non voulus, tout en facilitant les accès légitimes ..

Savez vous si je peux aussi modifier le port 5900 côté écran?

A ma connaissance ce n'est pas possible pour les écrans ci-dessus, mais il est facile de contourner cela en définissant une table de routage [appelée aussi "redirection de ports" ou NAT (Netware Address Translation)] dans le modem-routeur, exemple ci-dessous (évidemment, comme c'est mon installation j'ai masqué aussi bien les N° de ports externes (WAN) qu'internes (LAN) ainsi que les adresses IP ..):

2025-04-12_150546.jpg

Il y a environ 65 000 ports disponibles, donc on a le choix ... C'est plus facile à paramétrer sur certains modems (exemple les Livebox récentes, les modems Cudy, etc..) que sur d'autres (modems Teltonika RUTxx , etc..)

tableau-ports-connexion.png

Exemple : votre écran est à l'adresse Web http://111.222.333.444 et vous utilisez actuellement le port VNC par défaut (5900), vous définissez dans votre modem une redirection de port vers le HMI, par exemple du port externe (WAN) 12345 vers le port interne (LAN) 5900, puis vous modifiez l'adresse d'accès VNC dans votre téléphone ou autre : 111.222.333.444 devient 111.222.333.444:12345

Bon W.E.

dB-)

[ls32]

attention avec les ports, ceux de 1 à 1000 sont dédiés a des applications spécifiques, les éditeurs de logiciels paient pour cela donc il faut éviter de les utiliser, comme le modbus TCP en 502 par exemple.

[pierre]

Merci Didier. Le logiciel c est moi qui le gère depuis quelques années et l arrêt de Thomas R.
Je ne suis jamais tombé sur le réglage de déconnexion automatique dans EBpro. Mais l écran était bloqué plus de 24h donc ton hypothèse de craquer mon mot de passe de 8 chiffres leur prend du temps et bloque vnc. PLAUSIBLE
Quand je me replongerai dans l adressage de ma freebox je penserai à changer le port externe.

Mettre des mots de passes renforcés pour certaines pages, ça se fait j imagine, Mais j ai des boutons sur pas mal de pages. J y penserai uniquement si mon arrêt vnc pendant 1s toutes les 2h n est pas suffisant. Je vous tiens au courant.

Bon week-end