This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

Classement


Contenu populaire

Affichage du contenu avec la meilleure réputation depuis le 24/03/2017 dans toutes les zones

  1. 9 points
    Fenrir

    [TUTO] Sécuriser les accès à son nas

    Préambule L'objectif de ce tutoriel est de vous aider à correctement sécuriser votre boitier et en particulier les accès à ce dernier. Il ne s'agira pas ici d'un guide permettant d'avoir un haut niveau de sécurité (il n'y a pas de qu'il faut dans nos boitiers), mais simplement d'une énumération des différentes étapes permettant de limiter les risques à un seuil acceptable. Tous les points ne sont pas nécessairement à suivre, chacun est libre d'appliquer ou non ces recommandations, l'important étant de comprendre de quoi il s'agit. Comme depuis quelques années le terme NAS est de moins en moins compris par la plupart des utilisateurs et est détourné par les fabricants, un petit rappel s'impose. Un NAS (Network Attached Storage ou boîtier de stockage en réseau) est un système permettant de stocker des fichiers et d'y accéder via le réseau. C'est tout, terminé. Si nos boitiers ne faisaient que ça, ce tutoriel aurait eu un tout autre aspect (on aurait parlé de RAID, de TRIM, d’instantanés, d'onduleur, ...), mais on constate que sous cette appellation se trouvent de nombreuses fonctions qui n'ont rien à voir avec un NAS, ce sont des fonctionnalités de serveur (hébergement de site, streaming, messagerie, applications, ...) et un serveur a souvent vocation à être consulté depuis n'importe où (ou presque). Il faut donc en sécuriser les accès. Notes de lectures Je fais emploi de la première personne du singulier dans de nombreux points pour indiquer qu'il s'agit d'avis personnels Par soucis de compréhension, malgré son utilisation impropre, le terme NAS sera employé par la suite Plusieurs liens sont présents dans ce tutoriel, je vous invite à les consulter au fur et à mesure Je vous recommande fortement de lire ce tutoriel en entier une première fois avant de commencer à faire des modifications, puis de le reprendre étape par étape par la suite. De même, faites une sauvegarde de la configuration avant de commencer Afin de limiter le texte, vous trouverez de nombreuses copies d'écran avec les réglages que je recommande. Enfin, vous avez parfaitement le droit de ne pas être d'accord avec mes recommandations, n'hésitez pas en m'en faire part dans les commentaires. Sécurité ? La sécurité est un domaine très vaste en informatique et probablement celui qui revêt le plus d'aspects, mais force est de constater que c'est aussi le sujet le moins prioritaire pour la plupart des utilisateurs. Je vois 2 raisons à ça : les consommateurs sont de plus en plus en attente de produits simples et prêts à l'emploi dès le déballage hors de question de lire la documentation => erreur hors de question de se former (ou pire, d'être formé) => erreur et de toute manière on ne court aucun risque => erreur la sécurité est perçue comme une contrainte que des empêcheurs de tourner en rond essayent d'imposer c'est trop compliqué => ce point est souvent vrai ça fait perdre trop de temps => erreur et de toute manière on ne cours aucun risque (bis) => erreur Ces points ne sont que des exemples qui concernent à peine 95% des acheteurs de matériel informatique en tout genre. Il est probable que "vous" qui lirez ces lignes êtes dans les 5% restant. Faites votre possible pour convaincre les autres. Un constat assez curieux, c'est que dès qu'on parle de sécurité dans un domaine non informatique (chambre de bébé, maison, compte en banque, ...), la plupart des personnes sont réceptives si ce n'est volontaires, mais dès que ça touche à l’informatique, il n'y a plus personne pour écouter et surtout entendre. C'est un vrai problème car de nos jours, nos bébés sont sous vidéo-surveillance, nos enfants ont des ordinateurs (une tablette est un ordinateur, même si très limité), notre maison dispose d'une alarme connectée et nos comptes en banque sont accessibles de partout. Mais curieusement, les gens ne font pas le rapprochement . Sans oublier la meilleure des réponses - "Je n'ai rien à cacher". Quoi sécuriser ? Vous êtes maintenant convaincu que la sécurité est un point à ne pas négliger, y compris en informatique ? Que devez-vous sécuriser ? Comme indiqué plus haut, en informatique, la sécurité couvre de nombreux domaines, dans le cas de nos NAS/serveurs, il y a 3 principaux domaines sur lesquels on peut agir : sécurité des accès physique : je serais surpris que votre boitier se trouve sur votre pas de porte de même, je pense que votre nas est au sec reste à gérer la problématique des vols, ou pire, des enfants, mais c'est un autre sujet sécurité des données : 2 mots => sauvegarde + chiffrement sauvegarde : ayez toujours vos données sur au moins 2 supports distincts (nas+disque externe par exemple) chiffrement : si vous avez des données privées et/ou confidentielles, le chiffrement des partages est à envisager sécurité des accès distants : c'est le sujet qu'on va aborder dès maintenant Comment faire ? La plupart des réglages sont à faire dans le panneau de configuration, donc commencez par l'ouvrir : nb : certaines applications disposent aussi de paramètres liés à la sécurité, il ne faudra pas oublier d'aller les vérifier ######################################### "Il nous baratine sur plusieurs paragraphes à propos de la sécurité et voilà qu'il commence à parler d'heure ?" En informatique et plus particulièrement sur l'aspect sécurité, l'heure est un maillon essentiel. Une machine qui n'a pas un système horaire fiable va rencontrer un jour ou l'autre les problèmes suivants : problèmes de connexion : les systèmes d’authentification et de chiffrement utilisent l'heure dans les plupart des traitements problèmes de mise à jour : l'heure est une composante importante pour les tâches planifiées et la gestion des caches problèmes de sauvegarde : comment savoir ce qui a changé depuis la dernière sauvegarde si l'heure n'est pas fiable problèmes de diagnostic : si l'heure du système n'est pas fiable, celle des journaux (logs) ne le sera pas non plus Notez bien que je parle d'heure fiable, pas nécessairement d'heure juste. L'important n'est pas d'être à la bonne heure, mais que la pendule avance à la bonne vitesse et soit en accord avec celle des autres systèmes qui y sont connectés (en gros votre pc, les serveurs de Synology, ...). Vous avez donc le choix de mettre une heure fantaisiste à la condition d'aller régler les horloges de tous les autres équipements liés (par effet ricochet, vous allez devoir régler l'heure des satellites en orbite autour de Mars ...). Le plus simple reste d'être à l'heure juste à mon avis Ça se passe ici : Sélectionnez bien votre fuseau horaire et entrez l'adresse d'un serveur de temps fiable (vous en trouverez plusieurs ici) ou choisissez en un dans la liste proposée. Comme cette synchronisation va passer par Internet, il est recommandé de choisir un serveur de sa zone géographique (pool.ntp.org le fait tout seul) : Vous pouvez aussi activer la fonction de serveur NTP de votre boitier si vous souhaitez que vos autres équipements (vos caméras de surveillance par exemple) s'en servent comme horloge de référence : Il suffira alors de les configurer pour utiliser votre NAS comme serveur de temps (ça peut aussi être fait via le DHCP, options 004 et 042). ######################################### En sécurité, une des règles d'or consiste à réduire la surface d'attaque. Moins il y a des programmes qui tournent, mieux c'est. Accessoirement ça libérera des ressources (donc il sera plus rapide, il consommera moins et il chauffera moins). Dans cette section, n'activez que les services que vous utilisez. Si vous n'utilisez pas le FTP ou le NFS ou ... désactivez les. À noter que certains protocoles disposent d'options liées au chiffrement ou à la sécurité en générale, par exemple choisir SMB3 (dans Service de fichiers Windows) permet de chiffrer la communication en AES (pour Windows 8 et plus récent, les distributions GNU/Linux avec un noyau > 3.12 et les dernières versions de MacOS) : ######################################### On peut lire un peu partout qu'il faut renommer ou désactiver le compte admin car il sera attaqué. La recommandation est, partiellement, valable, mais la raison est mauvaise. C'est une bonne chose de créer un (ou plusieurs) compte(s) d'administrateur(s) et de ne pas utiliser (ni modifier) celui par défaut : s'il y a plusieurs personnes amenées à administrer un équipement ça permet une meilleure traçabilité, ça évite de devoir se refiler le mot de passe et ça permet de couper un administrateur en particulier si besoin sans impacter les autres si vous êtes seul à administrer votre équipement ça a au moins le mérite de laisser intact le compte par défaut La raison est mauvaise car les attaques ne s’arrêtent pas si le compte admin ne marche pas, elles s’arrêtent lorsque l'attaquant a testé tous les login/password de sa liste. Un autre point qui est souvent oublié c'est que le compte admin reste obligatoire pour certaines opérations avec les anciennes versions de DSM (inférieurs à DSM6.0). nb : certaines applications ne sont pleinement fonctionnelles qu'avec des droits d'administrateurs (ce n'est pas normal mais c'est comme ça) Nous allons donc créer un nouvel administrateur, mais un peu particulier : Choisissez un login explicite mais pas celui que vous utilisez tous les jours : Il faut bien entendu qu'il soit membre du groupes "administrators" : Ici je bloque les accès à tous les partages, certains vont penser que ça ne sert à rien puisqu'un membre du groupe "administrators" peut toujours se remettre les droits et c'est vrai. L'intérêt est que, si pour une raison ou une autre, ce compte arrive à accéder une des applications de gestion des fichiers (FileStation par exemple), il ne puisse pas faire grand-chose. On ne peut pas placer de quota sur un admin, donc on passe : Comme plusieurs protections valent mieux qu'une, on peut aussi bloquer l'accès à toutes les applications, mais dans ce cas, vous ne pourrez plus les administrer (c'est logique !). Personnellement je n'ai coupé l'administration que pour les applications qui sont accessibles depuis Internet en direct (chez moi la liste est courte, il n'y en a qu'une) et quand je veux administrer cette application (c'est rare), je me connecte avec cet administrateur, je lui donne les droits, je fais mon réglage et je retire les droits. À adapter en fonction de vos besoins (au début c'est très contraignant, mais une fois que le NAS est bien configuré, on n'y prête plus vraiment attention). Dans tous les cas, autorisez l'accès au "Bureau" à votre super admin afin de conserver l'accès au panneau de configuration : Avec un peu de parano, on peut aussi ralentir les opérations sur les fichiers pour décourager l'attaquant (ça vous demandera d'activer le contrôle du trafic) : Et on applique : Une fois notre administrateur créé, on vérifie qu'il fonctionne, donc on se déconnecte et on se reconnecte avec ce nouveau compte. Si ça fonctionne et qu'il accède bien au panneau de configuration comme un administrateur on peut continuer en spécifiant une politique pour les mots de passe. Un bon mot de passe c'est un mot de passe facile à retenir ou à retrouver de tête (donc pas sur un post-it) et relativement long. On lit souvent qu'il faut utiliser des caractères spéciaux car ça rend les mots de passe plus complexe. C'est vrai si ces 3 conditions sont réunies : les utilisateurs arrivent à s'en souvenir sans le noter les utilisateurs arrivent à le taper (clavier mobile, braille, étranger, ...) sa longueur est d'au moins 12 caractères Je trouve pour ma part qu'il est plus facile d'utiliser un long mot de passe avec des lettres, des chiffres et des majuscules qu'un mot de passe avec des caractères spéciaux. Pour ce qui est de la sécurité, imposer des caractères spéciaux à un mot de passe ne le complexifie que d'un "bit" en équivalent cryptographique. Ajouter 2 caractères "normaux" le complexifie de 11 bits. Pour un humain, deviner une chaine de 10 caractères spéciaux est très complexe, pour une machine c'est plus facile qu'une chaine de 10 caractères "normaux". Je ne dis pas qu'il ne faille pas inclure des caractères spéciaux, je recommande juste de ne pas l'imposer car ça facilite la vie des utilisateurs : En activant la vérification en 2 étapes, un assistant va se lancer, suivez le guide : Je recommande FreeOTP pour gérer vos jetons (il fonctionne aussi pour FaceBook, Google, ...) mais il existe d'autres applications similaires. Entrez le code généré par l'application (si votre NAS ou votre client ne sont pas à la même heure, ça échouera probablement) : Renseignez une adresse fiable et sécurisée ici : Et on valide : Encore une fois, on teste avant de continuer, donc on se déconnecte et on se reconnecte : Cette fois ci avec une étape supplémentaire : C'en est terminé de la création de notre administrateur, on peut maintenant couper celui par défaut : Arrivez ici vous allez penser que ce compte (monadmin) est inutilisable. C'est faux, c'est un compte d’administrateur qui peut effectuer toutes les tâches d'administration, il n'a pas besoin de voir des vidéos, d'envoyer des photos, ... Donc maintenant vous pouvez/devez créer des comptes "normaux" (sans les droits d'administration) et le compte d'administration sera réservé aux tâches d'administration. Je recommande aussi de créer des comptes utilitaires pour les besoins spécifiques. À titre d'exemple, sur mes NAS j'ai créé plusieurs comptes de ce type, dont : routeur (non admin) : ce compte sert à mon routeur pour exporter les modifications de configuration, il a juste le droit de faire du FTPs dans un dossier spécifique sauvegarde (admin) : ce compte est dédié aux tâches de sauvegardes, il a un mot de passe de 64 caractères (merci Keepass) En complément j'ai plusieurs comptes "normaux" pour l'utilisation au quotidien (ma famille et moi). Ça peut paraitre contraignant, mais normalement, enfin je l'espère pour vous, vous ne passez pas votre temps à faire des tâches d’administration sur votre NAS, donc vous ne devriez pas en avoir besoin souvent. Encore une fois il ne s'agit là que de recommandations, vous êtes libres d'utiliser le login admin avec le mot de passe "1234" pour consulter vos données privées depuis la Chine. ######################################### Ici on va aller vite, je déconseille d'activer ce service si on tient un tant soit peu à la sécurité. Pour informations, voici comme fonctionne QuickConnect : votre NAS établi un tunnel OpenVPN avec un serveur tiers loué par Synology (donc de fait, ils ont un accès direct au NAS s'ils le souhaitent) en parallèle il créé et met à jour un enregistrement DNS avec votre IP public (comme un DynDNS) lorsque vous entrez l'adresse QuickConnect de votre boitier, votre client va essayer de déterminer si vous pouvez vous connecter en direct si ce n'est pas le cas, votre trafic sera dirigé sur un serveur de Synology qui se chargera de router le trafic dans le tunnel du point 1 (donc ils peuvent voir tout ce qui passe) Le résultat est un trafic souvent très lent, relativement instable et difficile à maitriser. Néanmoins, si vous souhaitez conserver QuickConnect, pensez à limiter les applications accessibles, en particulier, n'autorisez pas DSM (en pratique l'accès à DSM on s'en fiche, ce qui est important dans un NAS ce sont les fichiers, mais bloquer l'accès aux fichiers sur un NAS limite grandement son utilité ...). ######################################### Il y a 3 sections dans ce menu : Cette section vous permet de configurer un service de DNS dynamique, c'est pratique pour ceux qui n'ont pas d'adresse IP fixe, rien de compliqué ici : Ne cliquez pas ici, ça fait partie des options que Synology devrait vraiment retirer de ses boitiers. C'est très dangereux du point de vue sécurité. Ça sert à ouvrir automatiquement des ports dans votre routeur/box, ça peut paraitre sympa comme ça mais en pratique c'est une faille de sécurité très importante. Là on entre en plein dans les comportements que je décrivais au début de ce tutoriel : les gens veulent du "clef en main" et la sécurité ça complique les choses ! 2 exemples pour essayer de vous convaincre : pour que cette fonction marche, votre routeur doit gérer l'UPnP, donc tous les équipements de votre réseau pourront faire de l'ouverture dynamique de port, le PC qui vient de se prendre un virus pourra automatiquement, sans la moindre notification, ouvrir un port permettant à un attaquant d'entrer dans votre réseau de même, si vous avez configuré des redirections de ports pour plusieurs équipements, ces redirections risquent de sauter si une requête UPnP demande le même port Un petit menu que beaucoup oublient de configurer, il n'est pas obligatoire et pas lié (pas directement du moins) à la sécurité mais ça permet d'éviter de chercher des heures la raison pour laquelle un lien de partage (par exemple) ne fonctionne pas. nb : si vous avez changé les ports de DSM (directement ou via votre routeur), il faut l'indiquer ici ######################################### On ne peut pas parler d'accès distant sans parler d'IP, donc allons y : Du point de vue confort, fiabilité et sécurité, l'attribution dynamique (DHCP) est recommandée, néanmoins, certains services nécessitent d'avoir une adresse IP fixe (c'est le cas du DKIM avec MailServer mais aussi du serveur DHCP et quelques autres applications), donc à choisir en fonction de vos besoins. Si vous choisissez DHCP, fixez l'adresse dans votre serveur DHCP (votre box probablement), si vous choisissez l'IP en dur, prenez une IP en dehors de la plage DHCP. Pour l'IPv6, même si je ne devrais pas le dire (car l'IPv6 c'est bien), du point de vue sécurité je vous recommande de le désactiver pour le moment. Le problème ne vient pas de Synology (qui permet de régler le pare-feu en IPv6), c'est plus général (j'en parle ici). Une fois que vous aurez bien compris ce que ça implique, vous pourrez revenir l'activer. Merci de ne pas changer les ports par défaut, ça n'apporte presque rien du point de vue sécurité (on gagne moins d'une seconde face à un scanner) et ça complique les usages. Si vraiment vous souhaitez les changer depuis Internet, faites-le sur votre box ou avec un "reverse proxy". Je ne redirige pas automatiquement les connexions HTTP vers HTTPS car je n'expose pas DSM directement sur Internet (il y a un serveur VPN pour ça), mais si vous le faites, activez la redirection. Attention, j'ai pu constater qu'activer la redirection HTTP vers HTTPS cassait certains mécanismes, au moins le reverse proxy pour les applications de base (audio/download/file/surveillance/video - station). Si vous souhaitez profiter de la redirection sans casser le reverse proxy, le plus simple est de créer un petit fichier php à la racine de Webstation (/web/index.php) pour gérer cette redirection : <?php $http_host = $_SERVER['HTTP_HOST']; // 307 Temporary Redirect header("Location: https://$http_host",TRUE,307); exit; ?> Vous pouvez bien entendu adapter le script pour utiliser des ports différents si besoin. Pour la dernière option, l'HSTS, ne l'activez que si vous n'accédez jamais à votre NAS autrement qu'en HTTPS (c'est votre navigateur qui enregistrera cette information et il ne vous laissera plus passer autrement qu'en HTTPS, même si ce dernier est coupé). ######################################### J'ai pris les menus dans l'ordre (ou presque), donc la section "Sécurité" n'arrive que maintenant, pourtant tout ce que l'on a vu précédemment est aussi lié à la sécurité ... Ces réglages devraient convenir à la plupart des utilisateurs : Pour le pare-feu, même si votre NAS n'est pas exposé sur Internet, activez-le, ça ne coute presque rien en ressources et ça limitera la casse si un jour il est exposé (une box qui passe en bridge, une erreur de manipulation, ...). Vous pouvez laisser les notifications activées, mais ne vous en servez pas (ne cliquez pas sur le bouton OK lorsqu'elles apparaissent), utilisez-les simplement comme un rappel que vous avez tel ou tel port à ouvrir. Les règles de pare-feu ci-dessous seront valable chez pratiquement tout le monde, en toute rigueur, il ne faudrait autoriser que les adresses "fiables" sur des services précis, mais sauf à avoir des espions dans son réseau, ça ne devrait pas poser de problèmes. On va dire que c'est un compromis entre confort et sécurité. nb : si vous souhaitez faire de l'IPv6, pensez à ajouter les adresses locales (fe80::/10 et ff00::/8) N'oubliez pas d'ajouter les règles nécessaires si vous souhaitez que certains services de votre NAS soient accessibles depuis Internet. Les règles ci-dessus n'autorisent que les réseaux locaux et bloquent tout le trafic venant d'Internet. Voici un exemple plus complet : En plus des réseaux locaux (ou privés), j'autorise les services suivants : ports TCP 80 et 443 depuis l'adresse 192.0.2.3 port UDP 1194 (OpenVPN) uniquement depuis la France ports UDP 500, 1701 et 4500 (L2TP/IPSec) uniquement depuis la France et les ports TCP 7000 et 7001 que j'ai associé à une application, autorisés depuis la France la Guyane française nb : les règles sont évaluées dans l'ordre, de haut en bas ps : si votre NAS est derrière une Box, il faudra aussi transférer (forward) les ports sur cette dernière Une recommandation, n'autorisez pas l'accès en direct à DSM (ports TCP 5000 et 5001 par défaut) depuis Internet mais servez vous du portail des applications (cf plus bas) pour limiter les accès aux seules applications nécessaires. Si vous devez administrer votre NAS depuis Internet, l'utilisation du Serveur VPN est vivement conseillée. Une petite case à cocher pour limiter les chances que votre boitier soit rendu inaccessible suite à un certain type d'attaque : Cette fonction bloquera les adresses IP des personnes ayants fait trop d'erreurs d'authentification (ça ne fonctionne qu'avec certaines applications, mais c'est déjà ça). nb : n'ajoutez pas d'adresses dans la liste des autorisations, si vous vous bloquez vous même, changez juste l'adresse de votre poste pour le débloquer ou attendez l'expiration du blocage Un peu plus haut on a parlé d'HTTPS, or qui dit HTTPS dit certificat. Ici on se heurte à un vrai problème du point de vue de la sécurité. Il est assez difficile de l'expliquer sans en faire des pages, mais pour faire simple, n'utilisez jamais un certificat auto-signé (comme celui installé par défaut dans la plupart des équipements). La solution la plus sécurisée consiste à créer votre propre autorité de certification et à émettre vous-même vos certificats. Cette méthode présente quelques avantages mais aussi quelques inconvénients : Avantages : vous n'avez pas à faire confiance à une entreprise que vous ne connaissez pas vous n'avez pas à payer cette entreprise pour vos certificats (même si avec LetsEncrypt et quelques autres entités, c'est gratuit) vous pouvez émettre autant de certificats que nécessaire vous pouvez choisir ce qu'ils acceptent (wildcard ou multi domaine par exemple) Inconvénients : vous devez savoir le faire vous devez installer votre autorité partout où vous l'utilisez (dans vos navigateurs, smartphones, ...) La solution recommandée est donc d'utiliser un certificat signé par une autorité reconnue en standard (Synology vous permet de créer un certificat signé par LetsEncrypt, c'est gratuit et ça marche assez bien). Dans un cas comme dans l'autre, supprimez le certificat installé par défaut. Enfin, la solution qui n'en est pas une consiste à accepter les avertissements de sécurité, en faisant ça, vous installez dans votre navigateur des certificats qui n'ont été validés par personne. C'est très dangereux mais il est assez difficile de vous expliquer pourquoi en quelques mots, gardez juste à l'esprit qu'accepter un certificat non reconnu peut permettre à un attaquant d'intercepter toutes vos communications vers le site de votre banque, même si ce dernier est protégé par un vrai certificat. ps : en passant, 2 modules pour Firefox que je recommande : Y U no validate et SSleuth Donc pour la plupart d'entre vous, le bon choix est de passer par l'assistant pour créer un certificat signé par LetsEncrypt (le port 80 doit être ouvert le temps de la génération du certificat et tous les 3 mois pour son renouvellement). N'activez jamais la compression HTTP (il y a une faille de sécurité dans ce protocole qui rend l'HTTPS inefficace) et utilisez les suites de chiffrement "moderne". ######################################### Un point important en sécurité consiste à être prévenu lorsqu’un problème survient. Le paramétrage des notifications est fait pour ça. Ici j'ai configuré les notifications par mail, mais vous pouvez utiliser les SMS (si vous avez un abonnement compatible comme FreeMobile) ou encore par Push (je déconseille ce mode car il est peu pratique à l'usage). Dans le dernier onglet, vous pouvez choisir le type de notification à activer pour la plupart des événements pouvant se produire. Au début cochez tout, puis en fonction de votre usage, vous pourrez décocher certaines notifications (chez moi j'ai désactivé les notifications pour les sauvegardes réussies). ######################################### Maintenir ses équipements à jour est un moyen assez simple de limiter les problèmes de sécurité. Je recommande de laisser le NAS détecter et télécharger les mises à jour automatiquement mais de ne pas le laisser les installer tout seul. Synology sort des mises à jour de bonne qualité en général, mais il arrive, surtout pour les mises à jour majeurs, que des problèmes surviennent (en clair, elles sont parfois boguées). Laissez le NAS vous prévenir qu'une mise à jour est disponible et renseignez-vous sur d'éventuels soucis de compatibilité avant de l'installer. nb : désactivez aussi les mises à jour automatique dans le Centre de paquets pour la même raison Parmi les actions à effectuer de temps en temps, surtout lorsque vous vous apprêtez à faire de gros changements (comme en suivant ce tutoriel), la sauvegarde de la configuration n'est pas à omettre. ps : pour information, le fichier de sauvegarde est une archive tar.xz contenant une base sqlite, il est donc possible de le consulter pour récupérer un élément de configuration précis Notez en passant que seuls certains paramètres sont sauvegardés, pensez à sauvegarder le reste d'une manière ou d'une autre : ps : cette sauvegarde de la configuration du NAS n'est pas à sauvegarder sur le NAS lui-même ######################################### Ici vous avez la possibilité de restreindre l'accès à certaines applications pour certains comptes. Par exemple si vous vous servez de votre NAS comme d'un système de dépose de fichiers pour des clients, via FileStation, il n'est pas nécessaire de leur laisser accès à vos vidéos de vacances avec VideoStation. De même il est peut être utile de limiter les accès à certaines machines. Sélectionnez une application et cliquez sur Modifier, la suite est assez explicite. ######################################### Par défaut la plupart des applications sont accessibles via DSM (ports 5000 et 5001) et l'adresse de votre nas, mais si vous souhaitez que seule telle ou telle application soit accessible depuis Internet, ou dispose d'une adresse spécifique ou écoute sur un port particulier, ou encore tout ça à la fois, c'est ici qu'il faut se rendre. Vous avez 2 menus : Applications : ça permet de configurer l'adresse et le port d'écoute de certaines applications Synology Proxy Inversé : ça permet de faire la même chose pour les autres applications ou faire des configurations plus avancées Ces options vous permettent, par exemple, de faire écouter les différentes applications sur des ports précis et ainsi, grâce au pare-feu, de limiter leurs accès aux seules adresses autorisées. Ci-dessous un exemple un peu plus complexe (la seconde partie n'est réalisable qu'avec du loopback ou si vous avez un DNS en interne ou qui gère les vues, j'en parle à la fin du tuto VPN) Dans un premier temps j'ai déclaré des ports spécifiques pour chacune des applications que j'utilise : => depuis un navigateur, si j'entre l'adresse de mon nas en précisant le port 7043 je tombe directement sur Audio Station J'ai ensuite configuré le Proxy inversé pour faire correspondre les différentes applications avec des noms de domaine différents mais sur un seul port (tcp 443/https). J'ai aussi créé une entrée pour une application non Synology (il s'agit ici d'un Docker) : => depuis DSAudio, j'entre l'adresse dsaudio.mon.domaine:443 nb : dans les applications mobiles, il ne faut pas oublier le numéro de port dans l'adresse pour que ça fonctionne de partout (en interne comme depuis Internet), sinon certaines d'entre elles essayent systématiquement de trouver une configuration QuickConnect (qui n'existe pas chez moi) ps : cette configuration ne fonctionnera pas si vous avez activé la redirection HTTP vers HTTPS de DSM (cf remarque un peu plus haut) ######################################### Même si vous n'avez pas l'intention de vous en servir, activez le SSH. En cas de problème d'accès à DSM, c'est souvent la seule manière de débloquer la situation sans devoir faire un reset du NAS. Par contre ne l'ouvrez pas depuis Internet, limitez son accès à votre seul réseau local. Et en passant, choisissez le mode de chiffrement le plus élevé : ######################################### Synology a eu la bonne idée (de mémoire avec DSM 5.2) d'ajouter l'application "Conseiller en sécurité". Cette application analyse certains fichiers et certains réglages de votre NAS afin de vous prévenir en cas d'anomalies. Elle ne va pas encore assez loin à mon gout, d'où ce tutoriel, mais c'est déjà pas mal. Globalement elle fait bien son travail, donc il serait dommage de s'en passer (n'oubliez pas de planifier une analyse régulière) : Néanmoins je ne suis pas d'accord avec 3 des recommandations de Synology, celles concernant les changements de ports, donc je les désactive (tout le reste devrait être activé) : Lancez l'analyse une première fois, si vous avez suivi mes recommandations, tout devrait être au vert.
  2. 8 points
    lamplis

    T411.ai.dlm

    Version 1.07

    1 441 téléchargements

    Moteur de recherche T411.ai pour Download Station : - Identification de l'utilisateur. - Limitation des recherches aux 500 premiers résultats. - Utilisation de l'API T411. - Mise à jour du dlm développé par giov et modifié par lolosam : Remplacement de t411.me par t411.io t411.io par t411.in t411.in t411.ch par t411.li t411.li par t411.ai ----- Procédure d'installation ----- 1 - Importer le module t411.ai.dlm dans Download Station : Download Station -> Paramètres -> Recherche BT -> Ajouter 2 - Paramétrage des identifiants de connexion : Sélectionner la ligne "t411.ai" puis cliquer sur "Modifier".
  3. 4 points
    Palex

    DLM torrent9.biz

    Hello, vous avez le fichier .dlm pour rechercher sur le site torrent9.biz depuis Download station du synology? Merci!
  4. 3 points
    Stefalex

    T411.ai dlm

    Bonjour à tous, Suis-je le seul à avoir un problème de connexion avec ce nouveau dlm ? Je n'arrive plus à me connecter, lorsque je mets à jour le dlm et que je teste le profil/mot de passe, il me dit que mon profil ou mp est faux alors que j'ai tout vérifié et revérifié ! Une idée d'où peut provenir le problème ? Merci d'avance de vos suggestions.
  5. 3 points
    placuduso

    T411.dlm

    Version 1.0.5

    515 téléchargements

    Moteur de recherche T411.ch pour Download Station : - Identification de l'utilisateur. - Limitation des recherches aux 500 premiers résultats. - Utilisation de l'API T411. - Mise à jour du dlm développé par giov et modifié par lolosam : Remplacement de t411.me par t411.io t411.io par t411.in t411.in par t411.ch ----- Procédure d'installation ----- 1 - Importer le module t411.dlm dans Download Station : Download Station -> Paramètres -> Recherche BT -> Ajouter 2 - Paramétrage des identifiants de connexion : Sélectionner la ligne "t411.in" puis cliquer sur "Modifier". t411.dlm
  6. 2 points
    CoolRaoul

    Windows 10 - Expiration de l'identification ?

    Bien entendu: je le fais régulièrement et ça marche aussi bien avec juste le nom du serveur ou avec un chemin complet.
  7. 2 points
    Fenrir

    Niveau de chiffrement

    Je n'ai pas creusé en détails, mais si on voit bien le nom du partage, le nombre de fichiers et leurs tailles (c'est dans les bases sqlite), le nom des dossiers, des fichiers et bien évidemment les contenus sont chiffrés. =>pour un produit grand public, destiné à des particuliers, c'est pas mal Si vous souhaitez vraiment tout masquer, il faut soit changer de gamme de produit (rajoutez 1 ou 2 zéros à la facture) soit accepter plus de contraintes. Il existe pléthore de logiciels gratuit permettant de créer des conteneurs chiffrés (veracrypt par exemple), vous avez aussi la possibilité d'utiliser des systèmes de fichiers chiffrés, comme encfs, ecryptfs ... Par contre j'ai quelques questions pour vous : Vos mails sont tous chiffrés avec PGP ? Ils sont bien entendu sur votre propre serveur ? Votre système d'exploitation est bien QubesOS ? Vous n'utiliser que des messagerie instantanées en OTR ? Vous ne surfez qu'au travers de TOR ? Vous n'utilisez jamais chrome ? Vous n'installez que des applications dont vous avez audité le code et que vous avez compilé vous même ? Vous avez vérifié chacun des composants matériel de votre environnement numérique (cpu, bios, southbridge, ..) ? ... Je demande ça à tout hasard, parce que si vous répondez non à l'une ou l'autre de ces questions, je pense que vous vous prenez la tête pour pas grand chose ...
  8. 2 points
    Vitria

    echec lors du lancement de la réparation du paquet

    Solution: Réinstaller les paquest, ne pas les lancer. Redémarrer le nas puis les lancer depuis le gestionnaire de paquets. Pour moi ça a marché ;) Source: http://it-tuto.com/installer-transmission-sur-votre-nas-synology/
  9. 1 point
    CoolRaoul

    Windows 10 - Expiration de l'identification ?

    Comme pour toute connexon à un dossier réseau partagé sous Windows Et il existe plusieurs méthodes: démarrer -> exécuter -> "\\<monas>\<partage>\<chemin>" Dans la branche "réseau" de l'explorateur, en dépliant l'entrée correspondant au NAS Ou directement en tapant dans le champ adresse de l'explorateur:
  10. 1 point
    lofre

    Windows 10 - Expiration de l'identification ?

    Minute papillon, je ne suis pas disparu j'avais pas trop le temps hier soir pour tapper un pavé, mais je ne vous ai pas oublié Je vais donner les explications, et même bien en détail, histoire que même les novices puissent s'en sortir facilement (c'est pas toujours évident) Alors voici un petit récapitulatif pour bien comprendre la chose. Je rappelle que cette procédure est effectuée sur Windows 10, mais fonctionne également pour les versions antérieurs. - Sur mon bureau, je double clique sur l'icone "Ce PC" pour ouvrir l'explorateur de mon ordinateur. - Dans la barre d'adresse de cet explorateur je saisi "\\MonNAS" (qui correspond au nom de mon NAS raccordé sur le réseau local) - Après quelques instants (le temps que le NAS démarre s'il est arreté à ce moment) j'ai une nouvelle petite fenêtre qui s'ouvre et m'invite à m'identifier pour accéder au contenu du NAS (je saisi donc mes identifiants, qui sont ceux que j'utiliserai pour m'identifier directement sur DSM) - J'ai ensuite accès à l'ensemble des dossiers de mon NAS, et je peux faire ce que je veux directement depuis mon explorateur Windows, et non pas depuis mon navigateur internet (comme pour DSM) - Une fois mon travail fini, je clique sur le petit icone windows en bas à gauche, et je tape avec mon clavier "cmd". Windows me propose alors d'ouvrir "Invité de commande" (Je peux également faire un clic gauche sur cet icone Windows, cliquer sur "executer", et saisir "cmd" c'est tout pareil) - une fois dans cet invité de commande, je saisi la ligne suivante sans les guillemets "net use" - S'affiche alors la liste des connexions réseaux distants, et j'y retrouve bien mon NAS indiqué à l'adresse "\\monnas\IPC$" par exemple - Toujours dans cet invité de commande, et à la suite, je saisi la ligne suivante "net use /delete \\monnas\IPC$" (remplacez "\\monnas\IPC$" par le nom exact de votre lecteur distant que vous à communiqué la fonction "net use" juste avant) - validez ensuite avec la touche entrée, et l'invité de commande indique maintenant "\\monnas\IPC$ a été supprimé" - Reste plus qu'a attendre quelques secondes (moins de 10) et si vous essayez de vous reconnecter à votre NAS via l'explorateur Windows (comme en début de ce tuto), il vous faudra à nouveau saisir vos identifiants pour y acceder. Voilà les mais, j'espère que ces explications sont claires ! Et naturellement, qu'elle vous serviront
  11. 1 point
    Fenrir

    DS412+ et après !? DX ou nouveau DS !?

    https://www.synology.com/fr-fr/products/compare/DS1517+/DS1515+ https://www.synology.com/fr-fr/products/compare/DS1817+/DS1815+ =>pour les tests, je pense que tu peux prendre ceux de la série 2015
  12. 1 point
    Titus963

    Configuration pour DS416play

    Tu as raison. Désolé, mais les soirées passent vite et parfois je suis un peu impatient, Il me semble que oui, tout fonctionne. Je peux encore faire un test avec mon portable tout à l'heure. Ou il y a un autre test à faire ?
  13. 1 point
    Fenrir

    EdgeRouter X : Possibilités de filtrages et reponses ?

    Il te propose de créer tes propres black/white listes, en complément de celles qu'il télécharge. J'avais commencé à faire un wizard graphique pour le mien (celui pour le geoip), mais je n'ai jamais trouvé la motivation de le finir car je n'utilise pas l'interface graphique et que de toute manière, ce genre de fonction, une fois configurée, on n'y revient plus. Je me suis donc contenté d'un wizard en CLI. Mais si ça t'amuse, mon script est libre de droits. ps : tu as oublié de poster les scripts qui vont avec le wizard, sans les scripts ce wizard ne fait rien (tout est indiqué sur le github)
  14. 1 point
    firlin

    Nas DS416 planté à cause de Download Station

    Bonjour Poires, Si je comprends bien tu as coupé les fichiers du dossier Download (je vais l’appeler comme ça ) Pour les mettre dans d’autres répertoires qui sont sur un autre volumes. Dans l’interface de download station (je parle du paquet pour télécharger) les as-tu supprimer (en clair il y a plus le lien pour les télécharger ? ) . Je demande car il faut savoir qu’il existe un répertoire caché à download qui est du type @download. Et que si tu ne supprime pas les liens dans l’interface, les fichier ne sont pas supprimer de @download. D’où ton problème de téléchargement pour moi.
  15. 1 point
    Hedy

    NAS Distant: sauvegarde/backup chiffré

    Tu peux ne pas faire afficher à l admin le dossier qui accueille tes fichiers . Il pourra toujours le rendre visible s'il le souhaite mais au moins ca évitera la suppression "accidentelle".
  16. 1 point
    Terrano

    T411.ai.dlm

    Je ne peux hélas pas compléter le message ci-dessous qui est tout a fait correct. J'ai étudié le problème et en fait il n'est pas possible de faire fonctionner T411 avec DSM, leur API a changé. Avant, pour Downloader un torrent, il suffisait de passer le token dans l'adresse : https://www.t411.ai/torrents/download/?id=5685432&token=tokenprivé Sauf que maintenant, le token est passé dans le header de la requête suivante : https://www.t411.ai/torrents/download/5685432 pour mettre le token, en php, suffit de faire ceci : curl_setopt($this->acurl->getHandler(), CURLOPT_HTTPHEADER, ['Authorization: '.$this->token]); saut que tel que fonctionne DSM.... Ce n'est pas possible... :(
  17. 1 point
    StéphanH

    offre 100€ à celui qui m'aide ....

    Personnellement, je prends les 100€, et je réfléchirai après réception. Bonne journée à tous. (Rédigé sous Tapatalk)
  18. 1 point
    PiwiLAbruti

    TCP Dump

    Pourquoi vouloir l'installer alors qu'il est déjà fourni avec DSM ? root@DiskStation:~# which tcpdump /sbin/tcpdump
  19. 1 point
    Fenrir

    "Relationship" DS416Play : c'est compliqué.

    Pour la consommation, c'est comme avec les voitures, la phase de démarrage consomme nettement plus que le "ralenti". Pour la reprise des vidéos, c'est bien une fonction serveur en DLNA, mais rien n’empêche les clients de le gérer (un client peut parfaitement faire serveur), de plus avec les Syno, le comportement peut être différent selon qu'on fait du pure DLNA ou avec la couche VideoStation de présente.
  20. 1 point
    PiwiLAbruti

    redirection d'une url:port vers url/chemin

    Utilise les hôtes virtuels de WebStation pour y accéder depuis une adresse du type https://********.hd.free.fr/tiny
  21. 1 point
    Fenrir

    redirection d'une url:port vers url/chemin

    Pour une application comme ttrss, il n'est pas nécessaire de passer par docker ... Pour ta question, oui, via le reverse proxy (portail des applications dans le panneau de conf de DSM)
  22. 1 point
    BruNoMore

    Synology RT2600ac ou borne Wifi séparée ?

    Bonjour Ça y est j'ai déménagé Je viens de passer commande pour le point d'accès wifi Ubiquiti UAP-AC-PRO Je l'ai pris chez Amazon Je vous tiendrai au courant pour l'installation @+ Bruno
  23. 1 point
    CoolRaoul

    Commande pour interrompre le réseau

    Mettre des quotes autour du chemin de la clé, sinon l'espace entre "program" et "files" pose problème: plink -i "C:\Program Files\PuTTY\adminkey.ppk" etc ...
  24. 1 point
    aj13fr

    Quel risque à se connecter sans HTTPS

    Salut, As-tu bien redirigé le port 443 vers ton NAS ?
  25. 1 point
    Fenrir

    916+ 1515+ ou 2NAS2 baies ?

    Comme tu prévois que ton futur-ancien nas soit dédié à la sauvegarde et que l'espace consommé est très modeste, je suis du même que mes camarades, n'achètes qu'un NAS, de préférence le DS916+ en SHR avec 2 disques de 4To ou plus. Puis tu ajouteras progressivement des disques complémentaires en fonction des besoins (au passage de 2 à 3 disque, tu passeras de raid1 à raid5). Niveau puissance, les 2 (916 et 1515) seront largement assez rapide même sans ajouter de ram (ton DS411j l'est probablement déjà assez). Pour ce qui est de plex, chacun ses goût, perso je préfère VideoStation
  26. 1 point
    PatrickH

    Dns Avec La Freebox Hd (V5)

    Toute le monde ne donne pas gratuitement de son temps pour aider les autres....comme certains ici sur le forum Patrick
  27. 1 point
    PiwiLAbruti

    Dns Avec La Freebox Hd (V5)

    Euh... bah... comment dire... Il y a des employés chez OVH qui ont besoin de manger pour vivre, et certains d'entre eux bossent au service de gestion des noms de domaine et s'occupent de tout l'administratif que toi gentil client/utilisateur en bout de chaîne ne voit pas. Et puis les gens que tu appelles au téléphone pour te dépanner parce que tu as pourri ta configuration DNS, eux aussi ils ont besoin de manger, et tous les jours en plus. Donc oui cet argent sert à engraisser des êtres humains soucieux de fournir le meilleur service possible à leurs clients. Et franchement, 6€ par un pour un nom de domaine c'est presque de la charité. En tout cas c'est pas le PDG d'OVH qui se fera un parachute doré avec des noms de domaine à 6€ l'an. (J'ose encore espérer que c'était de l'humour)
  28. 0 points
    lofre

    Windows 10 - Expiration de l'identification ?

    Oui c'est normal .... tu n'as en aucune façon suivi mon explicatif puisque tu te connectes via DSM .... Donc c'est normal que ça marche pas .... Euhhh, c'est tellement urgent que ça ? C'était tellement urgent que ça ne pouvait pas attendre le lendemain matin ? J'ai mis 10h entre le moment ou j'ai dis avoir trouvé la solution, et mon post ou j'explique tout en détail .... Euuhh, est ce que tu testes tes solutions avant de poster ? ou est ce que tu écris ce que tu penses, ou tu crois ? Un peu comme l'une de tes premières réponse. Si tu ne sais pas, ce n'est pas grave, y a pas mort d'homme. En utilisant ce que tu viens de dire, impossible d'afficher la racine du lecteur distant comme le fait ma solution via l'explorateur windows. Tu n'as qu'a essayer ...
  29. 0 points
    merlinfrance

    offre 100€ à celui qui m'aide ....

    J'ai une livebox orange pro, une adresse ip fixe, un serveur dj216j et j'ai installé myphp... et prestashop/ ET CELA NE MARCHE PAS ..... A l'aide
  30. -1 points
    EowynCarter

    Onduleur Obligatoire ?

    Jamsi eut d'ennuis , et j'ai pas d'onduleur. Seuls protections, le fusible sur la prise electrique, et le disque externe usb que je branche et synchronise de temps en temps. Aprés, mon NAS est éteint quand je m'en sert pas. Donc, non, l'onduleur n'est pas obligatoire. Ca dépend grandement de l'utilisation que tu en a, de l'importance des données qui sont dessus, tout ça...
  31. -1 points
    azerty1911

    Pourquoi pas de NTFS / extFAT ??

    Bonjour. Peux tu préciser cette info ? Le système est réparti sur l'ensemble des disques, en redondance RAID 1, même si un disque est en EXT4 ? C'est ça ? Merci
  32. -1 points
    toutnickel

    Demande info sur https et certificat

    Attn Lucien77 si ce post m'est destiné, "attention, cette case a une interaction négative sur le fonctionnement du reverse proxy." je ne vois pas la raison du -1 par Lucien77 j'indique seulement que moi je n'ai pas de proxy ! cordialement Merci de me donner des explications sur ce -1
  33. -1 points
    dfkeusch

    Quelle Ventilateur Compatible Ds409+ ?

    je ne suis pas un assidu du forum. un peu en retard, mais si ca aide.... Mon DS409+ marche toujours. il tourne en raid depuis 2010. quelques disques ont du etre remplaces.un ventilo a lache en 2016, j'ai remplace les deux, tout fonctionne bien. 25 E piece sur amazon https://www.amazon.fr/gp/product/B00E1AJS7G/ref=ox_sc_act_title_1?ie=UTF8&psc=1&smid=A1X6FK5RDHNB96 Didier
  34. -1 points
    titis14

    [Résolu] Accès extérieur MySQL

    Bon j'ai réussi, dans mon host j'avais mis le http et il ne fallait pas le mettre. Donc pour résumé, il faut créer un nouveau compte sur phpMyAdmin avec le nom d'hote %, ouvrir le port 3306 sur votre box, et mettre votre IP (xxx.xxx.xxx.xxx ou domaine.fr) en noms d'host dans votre fichier php. Merci pour ton aide webmail.
  35. -1 points
    Anoril

    T411.ai.dml

    Bonjour, J'ai des problèmes de recherche avec le nouveau DLM (1.07) : impossible de me connecter avec mes identifiants, et résultat de la recherche vide. J'ai rapidement débugger le bouzin : l'URL codée dans le DLM pour l'accès à l'API T411 est incorrecte : HTTP au lieu de HTTPS. En corrigeant cela, j'arrive à me connecter... Cependant, la recherche ne fonctionne toujours pas : la fonction "parse" n'est jamais appelée par le système Synology, et je ne saurais dire pourquoi. Voilà, si ça peut avancer ceux qui s'y connaissent plus que moi, c'est cool ! En attendant, vu le peu de remontées sur le sujet, soit nous ne sommes que quelque uns à avoir ce problème, soit plus personne ne passe par T411 ;) Bonne journée !
  36. -1 points
    Miskaam

    Depuis T411.ai plus de recherche

    Navré je n'en ai pas la moindre idée :(
  37. -1 points
    lofre

    Windows 10 - Expiration de l'identification ?

    C'est quelque fois plus facile de passer son chemin, et quelque fois c'est pas plus mal ... je ne ferai aucun commentaire supplémentaire ... quoi qu'il en soit, encore une fois, merci au forum Allemand ... Das Auto ..... euhhh, nan, Das deutsche Synology Support Forum En plus avec un pseudo "Cool Raoul", c'est, dans la logique du pseudo, plutôt moi qui aurait dû lâcher prise en premier Tu as bien eu raison de profiter de cette météo clémente (si nous avons eu le même temps ) hallelujah Mic13710, il semblerait que nous ayons plus ou moins la même version de Windows, et non pas la version "gouvernementale DGSE" Pour accéder à la racine, il n'y a pas d'autre choix que d'essayer de se connecter sur DSM (donc via navigateur) ou alors de saisir l'adresse du lecteur distant dans l'explorateur de windows directement (la base de mon post). Et comme tu le dis à juste titre, les dossiers accessibles restent ceux sur lesquels l'utilisateur est autorisé à accéder. Merci Mic13710 pour ce compte rendu, et tes essais !
  38. -3 points
    cocoloto89

    Quel Antivirus Utilisez Vous ? Mcafee ? Essential ? Aucun ?

    Bitdefender C'est la version Internet Security qui a été testé ici par Av-Comparative et le résultat est un sans-faute avec 100% des menaces bloquées et sans faux-positif. Il est possible de tester gratuitement en téléchargeant la version d'évaluation. Kaspersky L'éditeur fait jeu égal avec son concurrent en présentant un résultat vierge autant en détection qu'en fausses alertes. Là encore, c'est la déclinaison Internet Security qui a été mise à l'épreuve et qu'il est possible de tester durant un mois. AviraLe nom du logiciel est surtout connu pour sa version gratuite et pour son logo au parapluie, mais c'est une version payante qui a été testée : Avira Antivirus Pro. Il possède donc quelques fonctionnalités supplémentaires comme une protection web avancée.