Partager une connexion 4G d’un mobile avec un poste linux

Toujours dans l’optique d’une future itinérance que j’évoquais dans un post précédent, je me suis attaqué au partage de la connexion 4G vers un poste linux. En fait c’est très facile à faire, dans les paramètres d’Android, il y a une option partage de connexion avec 3 choix possibles, en créant un hotspot WIFI, par câble USB et même via bluetooth. J’ai laissé tomber bluetooth qui a une bande passante plus faible et est plutôt destiné aux transferts de données « légères ». Sur le poste linux c’est aussi simple, dans le gestionnaire de connexion on voit le hotspot WIFI apparaître et il suffit de saisir ses paramètres qu’on a défini précédemment sur le mobile 4G ou alors on voit une interface physique ethernet supplémentaire si on a défini le partage par câble USB. Dans les deux cas, je choisis l’option DHCP automatique pour l’attribution de l’adresse IP et des serveurs DNS. Il me restait donc à tester le partage via WIFI et câble USB. Je me suis rendu sur ce site pour faire des tests de performance, et voilà ce que ça donne:

en 4G via le wifi
débit descendant (download) 7,18Mbit/s
débit montant (upload) 2,22Kbit/s
ping 65ms

en 4G via le câble USB
débit descendant (download) 4,93Mbit/s
débit montant (upload) 2,12Kbit/s
ping 66ms

Le grand gagnant est donc la connexion WIFI. Ça reste évidemment très inférieur aux performances de ma box numericable avec:

débit descendant (download) 93,94Mbit/s
débit montant (upload)  18,1Mbit/s
ping 16ms

mais ça reste confortable et de toute façon je ne compte pas télécharger des Go de données quand je serai en itinérance.

Maintenant le but de la manœuvre est de pouvoir me connecter sur mon serveur perso à distance via internet en utilisant une connexion chiffrée SSH. Après avoir sécurisé mon serveur de mail et configuré un client de messagerie léger il fallait que je rende mon serveur OpenSSH un peu plus robuste. J’ai supprimé la connexion possible par mot de passe en se basant sur PAM qui n’est pas très robuste, la connexion n’est maintenant possible que par échange de clés publiques. Pour pirater la connexion il faudra donc d’une manière ou d’une autre, voler la clé mais également connaître le mot de passe (passphrase) qui va avec. J’ai également supprimer le X forwarding qui potentiellement peut offrir des possibilités supplémentaires aux hackeurs. Bref, la config est par . Vous vous dites ce n’est pas très malin de l’exposer ainsi sur internet, mais je n’ai pas communiqué le port et du reste le firewall de ma box est actif pour noyer le poisson. En effet si je lance le scanner de sécurité nmap d’internet (via mon mobile 4G justement), j’obtiens un tas de messages de ce genre

9575/tcp open tcpwrapped
|_auth-owners: ERROR: Script execution failed (use -d to debug)
9593/tcp open tcpwrapped
|_auth-owners: ERROR: Script execution failed (use -d to debug)
9594/tcp open tcpwrapped
|_auth-owners: ERROR: Script execution failed (use -d to debug)
9595/tcp open tcpwrapped
|_auth-owners: ERROR: Script execution failed (use -d to debug)
9618/tcp open tcpwrapped
|_auth-owners: ERROR: Script execution failed (use -d to debug)
9666/tcp open tcpwrapped
|_auth-owners: ERROR: Script execution failed (use -d to debug)
9876/tcp open tcpwrapped
|_auth-owners: ERROR: Script execution failed (use -d to debug)
9877/tcp open tcpwrapped
|_auth-owners: ERROR: Script execution failed (use -d to debug)
9878/tcp open tcpwrapped
|_auth-owners: ERROR: Script execution failed (use -d to debug)
9898/tcp open tcpwrapped
|_auth-owners: ERROR: Script execution failed (use -d to debug)
9900/tcp open tcpwrapped
|_auth-owners: ERROR: Script execution failed (use -d to debug)
9917/tcp open tcpwrapped
|_auth-owners: ERROR: Script execution failed (use -d to debug)
9929/tcp open tcpwrapped

Et ce message apparaît pour des milliers de ports. Il ne signifie pas pour autant que j’ai des milliers de ports ouverts, il signifie qu’une connexion TCP s’est bien établie mais que ma box a fermé la connexion sans aller plus loin.  nmap interprète cela comme quoi le port est réellement ouvert mais qu’on n’est pas autorisé à y accéder, au final le scan est beaucoup plus lent (il a pris quasiment une heure !) et le résultat est faussé avec un max de faux positifs.

Pour terminer comme je ne pourrai pas connaître l’adresse IP de mon serveur à distance, je l’ai liée à un nom de domaine via les services de No-IP.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

Vérification anti robot *