Discussion :

[avrSag]

Bonjour,
Je dois valider la communication un 'objet connecté' (équipement de domotique) , qui communique via/avec les protocoles suivants:
- TCP/IP, UDP
- FTP, SMTP (mail), SSH, DHCP, AUTOIP (et peut-être d'autre que j'ai oublié...)
Je ne trouve pas de méthodologie de validation clair sur le net, d'objet connecté : cela va du simple 'ping' jusqu'à l'utilisation de 'scapy' (ou autre) pour faire de l'injection de code dans les trames.
Ce que je pense faire, dans une configuration de réseau local ou internet:
- tests de la configuration de communication: adresses ip (privée et public), masque et passerelle
- ping de l'objet connecté
- scan des ports (netstat..)
- envoi de fichiers par ftp
- envoi de mail
- test de connexion avec telnet
- échange de données avec le serveur
Qu'en pensez vous ?
Je ne suis pas un expert en sécurité mais faut-il faire des tests de sécurité (l'objet connecté est programmé avec des piles de com du commerce) ?
Merci pour votre aide.
aVr

[BufferBob]

salut,

pour ma part j'ai pas compris ce que tu cherches à faire précisément, tu entends quoi par "valider la communication" ?

Ce que je pense faire, dans une configuration de réseau local ou internet:
- tests de la configuration de communication: adresses ip (privée et public), masque et passerelle

à quoi correspondent ces tests concrètement ? quelle en est la finalité ?

- ping de l'objet connecté

pourquoi pas, mais tous les appareils ne répondent pas forcément au ping, particulièrement sur internet

- scan des ports (netstat..)

non ça m'étonnerait, netstat te permet de voir les ports ouverts et les connexions sur ta machine locale, pas sur la machine distante
quant au scan de ports (le vrai, à coups de nmap ou autre), légalement parlant c'est assez controversé, sur le plan pratique un certain nombre d'appareils et/ou de réseaux sur lesquels ils sont situés pourront percevoir ça comme une tentative d'attaque et bloquer toute communication avec ta machine pendant un temps donné (souvent de 5 à 30min pour les firewalls applicatifs par exemple, pour des réseaux comme OVH en revanche ça peut rapidement tourner en blacklist pour une durée indéterminée)

- envoi de fichiers par ftp
- envoi de mail
- test de connexion avec telnet
- échange de données avec le serveur

tu pars donc du principe que toutes les machines qui seront amenées à être "validées" ont un serveur FTP dont tu as au moins 1 accès en écriture et un serveur mail sur lequel tu as au moins 1 utilisateur autorisé à envoyer des mails ? (sauf cas spécifique ça me semble très optimiste, trop)
en revanche si c'est bien le cas les deux derniers tests ne sont pas utiles, un transfert de fichier FTP permet déjà de vérifier la connectivité comme on le ferait avec telnet et c'est un échange de données en soi avec le serveur
mais toujours la même question, quelle est la finalité de ces tests, sont-ils réellement nécessaires ou est-ce que c'est dans un souci de "faire le maximum" ?

Je ne suis pas un expert en sécurité mais faut-il faire des tests de sécurité (l'objet connecté est programmé avec des piles de com du commerce) ?

les tests que tu décris ne sont pas des tests de sécurité, au mieux ce sont des tests de connectivité ou de fonctionnement des services distants
quant à faire la sécurité sur les autres machines, pour le dire simplement on va dire que le principe c'est plutôt de s'occuper de soi-même correctement de manière à être paré contre les dysfonctionnements éventuels venant de l'extérieur, dit autrement c'est une question de contexte, mais en gros une machine ne doit jamais faire totalement confiance à une autre, sur aucun critère, la confiance doit rester locale/contextuelle (ex: je fais confiance à la connexion FTP, je sais que c'est bien du FTP dedans, tout ce que j'ai à vérifier ce sont les données, avec un antivirus par exemple)
sinon je ne comprends pas la notion d'être "programmé avec des piles" ou de "pile de com du commerce"

[avrSag]

Bonjour,
Tout d'abord merci pour ta réponse.
J'entend par "valider la communication", le fait de me mettre à la place de l'utilisateur et faire toute sorte de connexion avec ces objets connectés
en réseau local ou étendu. La finalité, c'est de faire "l'intégration et la validation système" de l'objet connecté dans son environnement.
En fait je veux tester le cas d'utilisation 'configurer l'objet dans un réseau' : il y a une partie cablage et une partie configuration ethernet (ip, masque, ...).
Je pensais trouver sur le net les étapes pour valider la configuration ethernet d'un objet qui peut se connecte sur un réseau quelquonque mais j'ai rien trouvé.
Les cas nominaux sont faciles à trouver mais les autres cas ...
aVr

[BufferBob]

J'entend par "valider la communication", le fait de me mettre à la place de l'utilisateur et faire toute sorte de connexion avec ces objets connectés
en réseau local ou étendu. La finalité, c'est de faire "l'intégration et la validation système" de l'objet connecté dans son environnement.
En fait je veux tester le cas d'utilisation 'configurer l'objet dans un réseau' : il y a une partie cablage et une partie configuration ethernet (ip, masque, ...).
Je pensais trouver sur le net les étapes pour valider la configuration ethernet d'un objet qui peut se connecte sur un réseau quelquonque mais j'ai rien trouvé.

je pense pour le moins que ça mériterait une description plus concrète de la problématique, si on doit "vérifier l'impact de l'équipement dans un contexte de pointe" on ne comprend pas forcément toute la portée de ce dont on parle, alors que si on parle de "courir un 200m en claquettes contre Usain Bolt" c'est moins glamour en le disant mais on réalise tout de suite mieux qu'il s'agit d'une mauvaise idée

de ce que je comprends actuellement, ce que tu veux c'est que pour tout équipement distant qui vient "se connecter" à ta machine centrale, ledit équipement émet tout pleins de paquets (...) de manière à valider sa "capacité" d'un point de vue réseau, c'est ça ?

Les cas nominaux sont faciles à trouver mais les autres cas ...

de quels cas tu parles ?

[avrSag]

Bonjour,
Je pense que j'ai dû mal à me faire comprendre (désolé!). J'ai enfin trouvé un article sur le net dont je vais m'inspirer (chapitre 3&4) : http://dl.ifip.org/db/conf/pts/testc...esowiczM07.pdf
Merci à tous
aVr