[Tuto] Synology HTTPS & Certificat SSL (StartSSL) pour ne pas avoir d'alerte de sécurité dans les navigateurs

[MilesTEG1]

Bonjour tout le monde,

Je viens de mettre en place des certificats SSL sur deux NAS présents avec deux IP publiques différentes afin de ne plus avoir d'alerte de sécurité à la connexion.

Je vous fais partager mon expérience via ce tuto.

Je me suis inspiré de plusieurs autres tuto sur le net dont je vous liste les adresses en fin de document dans les sources.

Le tuto est fini, sans trop de coquilles j'espère (je l'ai rédigé sur google Docs).

Voilà le lien pour ceux qui veulent aller le consulter :

[Tuto] Synology HTTPS & Certificat SSL (StartSSL) { sur Google Doc }

Sommaire :

1. Petites explications préalables

2. Pré-requis

3. Configuration du SSH sur le NAS

4. Création de la clé Privée

5. Méthode alternative de création de clé privée (remplace 3. et 4.)

6. Création du compte StartSSL et validation du NDD

7. Création du certificat StartSSL

8. Importation dans le NAS

9. Vérifications
10. Sources

 

Ancien titre : HTTPS + Certificat SSL : Besoin d'aide sur les choix à faire

Bonjour,

J'aimerais bien avoir un vrai certificat SSL pour mes connexions en HTTPS. Sauf que je n'ai pas (encore) de nom de domaine. Comme je sais qu'un DDNS ne permet pas d'avoir un certificat SSL valide, il va me falloir un nom de domaine.

J'aurais besoin d'aide pour choisir un bon fournisseur de nom de domaine, pas trop cher

J'ai deux NAS qui ne sont pas au même endroit, donc avec des adresses IP différentes. Est-ce que ça ne va pas poser de soucis lorsque je vais vouloir y accéder à distance (en dehors de chez moi, depuis mon ordi portable) avec le certificat StartSSL ? 

D'ailleurs autre question sur les noms de domaine : admettons que je fasse un nom de domaine comme "tartanpion.fr". Est-ce que je peux faire en même temps un NAS1.tartanpion.fr et un NAS2.tartanpion.fr ? Je paye plus cher ce genre de chose ? (c'est histoire d'avoir mes deux NAS avec un certificat SSL).

J'ai de trouver cet article chez synology : 
https://www.synology.com/fr-fr/knowledgebase/tutorials/611

C'est quoi le mieux ? suivre ce auto ou créer un certificat chez StartSSL ?
(dans les deux cas je devrais me payer un nom de domaine).

Merci de votre aide.

Modifié le 24 août 2015 par MilesTEG1
Ajout du tuto, modification du titre

[PiwiLAbruti]

Pour avoir un certificat applicable aux sous-domaines (truc.tartanpion.fr, machin.tartanpion.fr, bidule.tartanpion.fr), il faut un certificat wildcard (~60€/an pour les moins chers).

Chez StartSSL : https://www.startssl.com/?app=2

[gaetan.cambier]

Ou gratuitement en créant 1 certificat pour chaque sous domaine

[MilesTEG1]

Ha cool ça

Merci

Je vais faire ça
Maintenant, me reste plus qu'à savoir si chez OVH (par exemple) les sous domaines sont inclus dans le prix du domaine principal.

[MilesTEG1]

Bonjour tout le monde,

Je viens de mettre en place des certificats SSL sur deux NAS présents avec deux IP publiques différentes afin de ne plus avoir d'alerte de sécurité à la connexion.

Je vous fais partager mon expérience via ce tuto.

Je me suis inspiré de plusieurs autres tuto sur le net dont je vous liste les adresses en fin de document dans les sources.

Le tuto est fini, sans trop de coquilles j'espère (je l'ai rédigé sur google Docs).

Voilà le lien pour ceux qui veulent aller le consulter :

[Tuto] Synology HTTPS & Certificat SSL (StartSSL) { sur Google Doc }

Sommaire :

1. Petites explications préalables

2. Pré-requis

3. Configuration du SSH sur le NAS

4. Création de la clé Privée

5. Méthode alternative de création de clé privée (remplace 3. et 4.)

6. Création du compte StartSSL et validation du NDD

7. Création du certificat StartSSL

8. Importation dans le NAS

9. Vérifications
10. Sources

 

 

 

PS : comme la section des tutos est assez restrictives (pas de lien externe), je vous partage ici le tuto que j'ai rédigé sur Google Docs.

Bonne lecture.

Miles

[Einsteinium]

Pour ma part un auto signé, avec l'ip locale et de mon sous domaine ovh config, certes il faut installé le certificat sur tous les appareils, mais au final le résultat est le même et je trouve plus rapide dans la mesure ou c'est pas une ouverture public du nas, mais que pour mon utilisation.

 

sur ce point que tu évoques :

Le risque ? Et bien, le risque c’est que quelqu’un de malintentionné pourrait intercepter les données et faire croire qu’il s’agit bien du NAS… (bon là il faut de l’XP, mais aujourd’hui, avec toutes les failles de sécurité qui sont trouvées et peut être exploitées…)

En faites c'est relativement simple et à la portée de tous le monde, exemple pour test chez toi, le logiciel cain & abdel...

[MilesTEG1]

Pour ma part un auto signé, avec l'ip locale et de mon sous domaine ovh config, certes il faut installé le certificat sur tous les appareils, mais au final le résultat est le même et je trouve plus rapide dans la mesure ou c'est pas une ouverture public du nas, mais que pour mon utilisation.

 

sur ce point que tu évoques :

Le risque ? Et bien, le risque c’est que quelqu’un de malintentionné pourrait intercepter les données et faire croire qu’il s’agit bien du NAS… (bon là il faut de l’XP, mais aujourd’hui, avec toutes les failles de sécurité qui sont trouvées et peut être exploitées…)

En faites c'est relativement simple et à la portée de tous le monde, exemple pour test chez toi, le logiciel cain & abdel...

Ha oué ? Je pensais pas que ce serait si simple...

Merci pour l'info.

En ce qui me concerne, j'avais pas vraiment envie de passer sur tous les ordinateurs pour installer le certificat autosigné, et les personnes qui peuvent utiliser mon NAS ne sont pas vraiment capable de le faire... Ils se contente de cliquer sur le lien pour consulter les photos par exemple.

Et pour le autosigné, j'ai essayé sur mon ordinateur, mais j'ai eu un problème car j'ai 2 NAS à contrôler, ce qui fait que si je tente d'importer deux certificats autosignés et bien il y a conflit et les deux ne fonctionnent pas en même temps, donc pas possible pour moi.

Ma méthode, bien qu'un peu longue, dispense d'installer le certificat sur tous les navigateurs où on passe pour accéder au nas.
Et ça, c'est un temps précieux de gagné pour moi Et plus d'alerte de sécurité

[Einsteinium]

Oui voilà dans ton cas pas le choix, tu l'ouvre publiquement, de voir une alerte les utilisateurs lamba croit à un piratage s'il ce connecte mdr

Mais le jour ou j'ai la fibre, la j'y passerais... Mais actuellement avec 1mo/up... Inutile, mais une partie de ton tutorial me sera utile un jour peu être pour gagné du temps, mais pas tout.

Car je suis pas d'accord avec la totalité pour tout te dire, genre l'ouverture du port ssh... Cela je laisse restreint en locale ou via vpn à distance.

[MilesTEG1]

 

1 Mo/s c'est pas mal comme upload. C'est ce que j'ai avec Numericable (10 MBits <=> 1 Mo/s environ).

En tout cas, c'est bien meilleur que ce que mes parents ont avec free adsl

 

Sinon pour le SSH, c'est sur que c'est pas terrible... MAIS, si tu fais comme j'ai fait pour le pare-feu, il n'y a pas de risque puisque le pare-feu ne va autoriser que les IP que tu lui aura déclaré à accéder au SSH. Sachant qu'en plus tu peux changer le port SSH.

Quand j'ai fait les manips, je n'étais pas chez moi, et comme je n'avais pas redirigé le port modifié dans ma box, j'ai du passer temporairement sur le port par défaut. Et je n'ai eu aucune attaque, grace au pare-feu qui n'autorisait QUE certaines IP dont celle de là où j'étais.

Donc je dirais qu'ouvrir le port SSH en permanence c'est certes dangereux, mais avec les règles du pare-feu bien configurées, le risque tombe à 0 (ou presque).

J'ai configuré aussi le rejet des IP sur mauvais mot de passe.

Désactiver le compte admin permet de ne plus se logue en root sur le SSH, donc tu te blindes un peu niveau sécurité, non ?

[Einsteinium]

Oui enfin le blocage par IP, c'est bien pour une IP fixe, mais genre en 3G si mobilité c'est mort quand même.

sinon dire que tu change le port, maintenant il y a des bots qui passe leurs temps à scan les IP et leurs ports ouverts, puis test ceux ci... Donc oui c'est bien, mais pas une vrai protection.

dire que tu désactive le compte admin.. Là encore, quand il y a eu la faille synolocker... C'était le DSM qui était la porte d'entrée, avoir le port 5000/5001 suffisait pour être pris, il y a déjà eu des failles de ce type pour le ssh aussi...on peut dire que dans ce type de cas le blocage d'ip pour échec de connections est accessoirement inutile

bref de quoi être bien parano pour ses données  personnelles ^^

Moi vue les données personnelles que je stock, je laisse le synology accessible que par vpn (un compte spécial pour) et j'ai une alerte à la moindre connections sur celui ci via une petite manipulation (car synology le permet pas encore)

Quand je déciderais de faire une plus grande ouverture, je prendrais un synology une baie qui sera isolé du reste du réseaux local pour ma part.

[MilesTEG1]

 

Le 25/08/2015 à 14:40, Einsteinium a dit :

Oui enfin le blocage par IP, c'est bien pour une IP fixe, mais genre en 3G si mobilité c'est mort quand même.

Ha bah oui c'est sur  Mais je ne fait pas d'administration via mon mobile... Au pire, je met l'IP actuelle du téléphone dans le parefeu en tant que règle temporaire.

Sinon j'attends d'être sur une connexion fixe pour bricoler mon nas.

Le 25/08/2015 à 14:40, Einsteinium a dit :

sinon dire que tu change le port, maintenant il y a des bots qui passe leurs temps à scan les IP et leurs ports ouverts, puis test ceux ci... Donc oui c'est bien, mais pas une vrai protection.

Le SSH n'est pas nécessaire au bon fonctionnement du NAS, donc tu peux le désactiver.

Bon par contre, si tu comptes faire des backups sur un NAS à distance via l'outils de sauvegarde, en suivant ce tuto Sauvegarde Dans Le Nuage Entre 2 Boitiers Synology, le SSH est obligatoire.

Quand j'ai activé le SSH en 2014 (quand j'ai suivi ma stratégie de backup sur le NAS que j'ai placé chez mes parents), je n'avais pas paramétré le pare-feu et du coup j'ai eu quelques tentatives de connexion indésirables :

 

Mais comme tu peux le voir, depuis que j'ai fait les règles dont j'ai parlé dans le tuto, plus rien. Malgré l'utilisation du port 22 (avant que je le change).

Je ne dis pas que mon NAS est 100% sécurisé, mais j'ai fait tout ce qu'il fallait pour que ce soit le cas : les risques restant ne sont pas du à mes paramétrages, mais plutôt à des failles de sécurité du NAS lui même, ou des applications qui tournent dessus.

 

Le 25/08/2015 à 14:40, Einsteinium a dit :

dire que tu désactive le compte admin.. Là encore, quand il y a eu la faille synolocker... C'était le DSM qui était la porte d'entrée, avoir le port 5000/5001 suffisait pour être pris, il y a déjà eu des failles de ce type pour le ssh aussi...on peut dire que dans ce type de cas le blocage d'ip pour échec de connections est accessoirement inutile

bref de quoi être bien parano pour ses données  personnelles ^^

Ha oui je vois que tu l'es bien sur tes données, mais je ne te jète pas la pierre loin de là

J'ai pas tout suivi sur cette faille Synlocker, mais j'avoue qu'elle m'avait fait un peu peur... Mais vu que je filtre énormément d'IP - je n'autorise que des IP française - le reste du monde n'a pas accès à mon NAS. je limite les risques il me semble.

 

Le 25/08/2015 à 14:40, Einsteinium a dit :

Moi vue les données personnelles que je stock, je laisse le synology accessible que par vpn (un compte spécial pour) et j'ai une alerte à la moindre connections sur celui ci via une petite manipulation (car synology le permet pas encore)

Quand je déciderais de faire une plus grande ouverture, je prendrais un synology une baie qui sera isolé du reste du réseaux local pour ma part.

Faut savoir faire pour le VPN, ce n'est pas mon cas. Faut aussi paramétrer le client avec lequel tu vas accéder au NAS...

Quand je veux accéder à mon NAS depuis ailleurs que chez moi, j'utilise mon compte utilisateur-NET qui a un groooos mot de passe et FileStation. Je n'ai pas besoin de plus (genre un LAN via VPN).

Après tout est une question de besoins/choix et du coup aussi restrictions.

 

Modifié le 1 février 2017 par MilesTEG1

[As Pirine]

bonjour

voilà  bien longtemps que je n'étais venu ici - j'ai d'ailleurs perdu la mémoire de mon pseudo ici.lol -

Très bien ton tuto et en mettant un exemple tu mérites un 18/20

j'objecterai 2 "failles" à ton idée

A une attaque bruteforce ton syno n'y résistera pas bien longtemps et ce à cause du certificat non "officiel" le fait-maison.

Ensuite tu nous livre des ip bannies mais tu n'indiques pas combien d'erreurs étaient possible pour l'appelant avant d'être exclu.

Aujourd'hui, les isaréliens ont démontré la possibilité d'introduire des vers à la seconde attaque ( 2ème tentative d'introduction). Je me doute bien que tu ne possèdes les clés cryptées du Pdt de la République pour les lancements militaires.... Mais ce n'est pas pour autant que l'on doit laisser les voleurs entrer chez soi sans réagir.

Pour ma part, voici mon analyse :

ton certif n'est valable que si et seulement si, tu cherches à le faire en cryptage fort donc systématiquement au minimum de ce que la Loi prévoit en maximum (je t'avouerai qu'en dessous de ce maximum je ne crypte pas cela ne sert à rien) - tu me suis ?.

ensuite hé bien comme l'a dit fort justement un sage ...

si ta porte n'est pas ouverte c'est qu'il y a une raison donc ne laisses pas des clés dehors...

toc toc toc c'est déjà trop long : donc un maximum de 2 essais avant de jeter l'ip définitivement.

pour ma part, je suis à un essai uniquement.

C'est largement suffisant avec des logiciels comme firefox qui t"évites des erreurs de frappe ( tx d'erreurs en 3 ans : une seule fois, j'ai été blacboulé)  Et si je me trompe, il y a suffisamment d'astuces pour que l'on trouve un autre chemin ou qu'on se trouve une autre ip.

Quant à la paranoïa évoquée ici par quelques naifs ici je paraphraserai le président de la Cnil qui, répondait à un journaliste au sujet de la paranoïa :

"...la vie privée est une chose qui doit rester ... privée.  Il y des choses, des façons de vivre qui, sans être illégales n'ont pas à être exposées à autrui."

Dit autrement, c'est à la personne concernée de décider si elle doit ou non rendre sa vie privée publique et non au public de décider pour lui.

 

Cela étant dit,

ton travail est remarquable il permettra à ceux qui jugent qu'il est bon de sécuriser leurs données, de s'affranchir des certificats édités par synology. Car j'espère bien que tu ne réalises pas des cerficats à partir du logiciel du syno.....?

SI quelqu'un en cherche des gratuits ... c'est tout simple un pc en unix - linux ttes déclinaisons et vous faites votre certicat perso blindé...

 

Pour ma part, pour renforcer ton programme, je préconise de prendre

une adresse ip de contact distincte et d'appeler toujours de cette ip son syno.

Aujourd'hui c'est très facile avec les proxy, les vpn... de s'attribuer une ip "fixe" pour le syno. et cela marche très bien.

Donc  Bravo encore

Modifié le 25 août 2015 par As Pirine

[MilesTEG1]

Merci pour les compliments ;-) et pour la note :-P  Le professeur que je suis est content de recevoir un 18/20 :-D

J'ai par contre 2-3 petites choses que je n'ai pas saisi dans ce que tu as dit ;-) Si tu pouvais me donner quelques précisions.

bonjour

voilà  bien longtemps que je n'étais venu ici - j'ai d'ailleurs perdu la mémoire de mon pseudo ici.lol -

Très bien ton tuto et en mettant un exemple tu mérites un 18/20

j'objecterai 2 "failles" à ton idée

A une attaque bruteforce ton syno n'y résistera pas bien longtemps et ce à cause du certificat non "officiel" le fait-maison.

Le certificat que j'ai créé n'est pas officiel ? Ça fragilise ma sécurité en quoi ?

Pour ce qui est de résister à une attaque Brute-Force, avec du temps, le brute-force passe tout le temps :-)

 

Ensuite tu nous livre des ip bannies mais tu n'indiques pas combien d'erreurs étaient possible pour l'appelant avant d'être exclu.

Aujourd'hui, les isaréliens ont démontré la possibilité d'introduire des vers à la seconde attaque ( 2ème tentative d'introduction). Je me doute bien que tu ne possèdes les clés cryptées du Pdt de la République pour les lancements militaires.... Mais ce n'est pas pour autant que l'on doit laisser les voleurs entrer chez soi sans réagir.

J'avais quasi le même réglage que j'ai indiqué dans mon tuto : je devais bloquer au bout de 3 tentatives.
Je suis bien d'accord sur le fait de ne pas laisser un voleur entrer dans mon réseau ;-) Je pense que je vais suivre ton conseil et n'autoriser qu'une seule tentative. de toute façon j'utilise KeePass pour mes mots de passe, donc je ne tenterais plus le mot de passe à la manuel sur mon téléphone (je le connais par coeur celui du compte admin syno ;)). Mes autres endroits de connexion, et bien, ils sont autorisés dans la White-List :-D et mes navigateurs connaissent mes mots de passe (ce qui est peut être pas une bonne chose, mais bon tellement pratique ;))

Pour ma part, voici mon analyse :

ton certif n'est valable que si et seulement si, tu cherches à le faire en cryptage fort donc systématiquement au minimum de ce que la Loi prévoit en maximum (je t'avouerai qu'en dessous de ce maximum je ne crypte pas cela ne sert à rien) - tu me suis ?.

Heuuu... En SHA256 c'est ça ? ou c'est le 2048 bits que j'ai du choisir lors de la création sur StartSSL ?
Mais sinon pour le reste je crois avoir pigé : le maximum autorisé par l'état est le minimum à faire en chiffrage, c'est ça ? Si on veut chiffrer dessous, ça sert à rien, c'est bien ça ? (j'ai bien pigé cette partie ?)

 

ensuite hé bien comme l'a dit fort justement un sage ...

si ta porte n'est pas ouverte c'est qu'il y a une raison donc ne laisses pas des clés dehors...

toc toc toc c'est déjà trop long : donc un maximum de 2 essais avant de jeter l'ip définitivement.

pour ma part, je suis à un essai uniquement.

C'est largement suffisant avec des logiciels comme firefox qui t"évites des erreurs de frappe ( tx d'erreurs en 3 ans : une seule fois, j'ai été blacboulé)  Et si je me trompe, il y a suffisamment d'astuces pour que l'on trouve un autre chemin ou qu'on se trouve une autre ip.

Oki, comme je l'ai dit au-dessus, je vais envisager de passer à une seule tentative

Quant à la paranoïa évoquée ici par quelques naifs ici je paraphraserai le président de la Cnil qui, répondait à un journaliste au sujet de la paranoïa :

"...la vie privée est une chose qui doit rester ... privée.  Il y des choses, des façons de vivre qui, sans être illégales n'ont pas à être exposées à autrui."

Dit autrement, c'est à la personne concernée de décider si elle doit ou non rendre sa vie privée publique et non au public de décider pour lui.

J'ai pas tout saisi là :-) enfin j'exagère un peu. Tu veux dire ici que prendre un NDD et faire le certificats SSL rend mon NAS publique, ça je comprends, mais, par contre pour moi, mettre une porte sur sa maison permet d'y rentrer dedans si on a la clé, mais ça veut pas dire que le commun qui passe par là puisse y entrer, et n'ai le droit d'y entrer. J'ai mes mots de passe en guise de serrure.
Donc dans l'absolu, je ne rend pas publique ma vie privée, enfin mes fichiers présents sur mon NAS. Je me laisse une ouverture pour y entrer avec ma clé, mais je laisse personne d'autre y entrer.

 

Cela étant dit,

ton travail est remarquable il permettra à ceux qui jugent qu'il est bon de sécuriser leurs données, de s'affranchir des certificats édités par synology. Car j'espère bien que tu ne réalises pas des cerficats à partir du logiciel du syno.....?

Merci du compliment :-D J'apprécie.

C'est-à-dire "à partir du logiciel du syno" ?

J'ai utilisé les lignes de commandes présentes dans mon tuto pour faire mon certificat. Ce sont bien des petits programmes présents dans le Syno, mais aussi dans toute distribution linux je pense :-p Je peux même le faire depuis mon mac (je viens d'essayer la commande openssl genrsa -des3 -out 0-Cle-Privee-ssl.key 2048 qui fonctionne).

SI quelqu'un en cherche des gratuits ... c'est tout simple un pc en unix - linux ttes déclinaisons et vous faites votre certicat perso blindé...

Ou donc un mac :-D (j'avais pas vu cette phrase ;-)

Pour ma part, pour renforcer ton programme, je préconise de prendre

une adresse ip de contact distincte et d'appeler toujours de cette ip son syno.

Aujourd'hui c'est très facile avec les proxy, les vpn... de s'attribuer une ip "fixe" pour le syno. et cela marche très bien.

Donc  Bravo encore

Oué, mais le soucis, c'est que j'accède sur le Syno depuis d'autres adresses IP pour CloudStation, PhotoStation, etc...
Mais pour la configuration, là par contre, ce ne sont que quelques IP (la mienne, celle de mes parents, celle de ma copine, celle de mes beaux parents).

Passer par un proxy... niveau sécurité, c'est bof bof... comme le VPN si c'est pas un VPN fait par mes soins
Mais là, je sais pas faire de serveur VPN fonctionnel... et pour le moment je n'en ressens pas l'utilisé ;-)

 

en tout cas, merci pour ton post ;-) 

 

@bientôt (je suis aussi chez HFR)

[Einsteinium]

De toute façon si on te fait une attaque Man in the middle, tu auras une alerte concernant le certificat (ce que tu avais à la base)

maintenant sha256 en 2048 c'est suffisant, faire plus c'est de la paranoïa je trouve ^^

[As Pirine]

ok je reprends en précisant que certaines remarques concernant ton projet sont pour toi mais la paranoïa évoquée par d'autres "étaient pour eux uniqument : je ne pense pas que laisser la porte à tout-va soit une solution adulte. je ne qualifierai donc pas ta demarche de paranoiaque

 

maintenant point par point ( là tu me donnes du boulot :))

voici déjà quelques liens pour te faciliter la vie ( modo : désolé si la charte ne le permet pas tu te chargeras de fumer mes liens mer6 par avance)

d'abord pour la secu : raisonne en unix ou linux et pas en win (trop de failles)

simplifies toi la vie : toi et ton ordi ne devez pas passer 3h à decrypter recrypter ...

http://www.admin-debian.com/ssh/gerer-plusieurs-cles-ssh-sim/

ensuite gères les priorités (pour toi et uniquement pour toi : les autres tu t'en f.) ce qui es t important doit etre crypté

par exemple ton certif de naissance il doit avoir la notion de important +++++ ( vol identité)

est-ce qu'il est important de "strimmer" un film ou une serie des states ? si tu es en openssh tu ralentis ton debit sauf que : si tu encapsules ds un vpn un autre vpn tu augmentes la vitesse ralentie par le 1er...

ne me demande pas d'explications c'est un constat.

pour ton projet telechrgement de chez toi chez tes parents (backup)

assures toi que la connexion soit excellente (ds  mn cas mes parents étant en campagne c'est le 56Ko lol) donc ma préférence a été a continuité du service à la sécurité un vpn ppte mais avec double verif (tel ou sms) je prefere le sms) et la transaction commence. une fois finie personne ne peut accéder à mon routeur car physiqument la connexion n'est plus alimentée... ( je te donne des filons et non des réponseS.... A toi de les explorer.

le bruteforce est une démarche qui n'est plus logique on apprend cela en ecole mais c'est du passé... C'est comme stalone face à 200 méchants c'est irrationel mais cela fait plaisir. Le but de cela est d'obtenir un déni de services. En quoi un syno peut-il être interessant ? SI il est planté personne ne peut y accéder lol.

donc oui le BF est un danger mais pas pour toi. mais si tu le penses alors tu dois prendre un logiciel à algorhitme changeant qui te donnera une clé nouvelle toutes les millièmes de seconde... pas réaliste ???

 

proxy vpn

oublies 20 secondes tes remarques pertinentes et envisages ceci : un syno ou autre en vpn client auprès d'un serveur vpn ( la liste est longue) il est en écoute pour avoir une adresse ip identique que lui offre le vpn de ta machine ( exemple prends 2 abonnements vpn chez le meme vpn tu auras tres souvent la meme ip mais pas le meme port...)

si tu as  ton propre vpn et que tu te connectes par un vpn serveur ... quelle est la probabilite que quelqu'un te piste ,, comptes les ports ( en math on dirai x ports puissances 65 milles et quelques)

donc en résumé - si j'ai correctement repris tes remarques :

crez une clé tres forte et une clé faible

fais le calcul du temps que mets tes nas a envoyer et recevoir des fichiers de 1 10 100Mo

fais la meme chose avec un vpn....

enfin trouve le bon éuilibre entre temps securite et compression

Et tu verras que parfois c'est la rapidit" connrx deconnrxion qui prime et non le cryptage;

Espérant avoir répondu

bonne soirée à toi

 

 

[MilesTEG1]

De toute façon si on te fait une attaque Man in the middle, tu auras une alerte concernant le certificat (ce que tu avais à la base)

maintenant sha256 en 2048 c'est suffisant, faire plus c'est de la paranoïa je trouve ^^

De toute façon je crois pas que j'aurais pu faire plus fort niveau chiffrage...

ok je reprends en précisant que certaines remarques concernant ton projet sont pour toi mais la paranoïa évoquée par d'autres "étaient pour eux uniqument : je ne pense pas que laisser la porte à tout-va soit une solution adulte. je ne qualifierai donc pas ta demarche de paranoiaque

 

maintenant point par point ( là tu me donnes du boulot :))

voici déjà quelques liens pour te faciliter la vie ( modo : désolé si la charte ne le permet pas tu te chargeras de fumer mes liens mer6 par avance)

d'abord pour la secu : raisonne en unix ou linux et pas en win (trop de failles)

simplifies toi la vie : toi et ton ordi ne devez pas passer 3h à decrypter recrypter ...

http://www.admin-debian.com/ssh/gerer-plusieurs-cles-ssh-sim/

ensuite gères les priorités (pour toi et uniquement pour toi : les autres tu t'en f.) ce qui es t important doit etre crypté

par exemple ton certif de naissance il doit avoir la notion de important +++++ ( vol identité)

est-ce qu'il est important de "strimmer" un film ou une serie des states ? si tu es en openssh tu ralentis ton debit sauf que : si tu encapsules ds un vpn un autre vpn tu augmentes la vitesse ralentie par le 1er...

ne me demande pas d'explications c'est un constat.

pour ton projet telechrgement de chez toi chez tes parents (backup)

assures toi que la connexion soit excellente (ds  mn cas mes parents étant en campagne c'est le 56Ko lol) donc ma préférence a été a continuité du service à la sécurité un vpn ppte mais avec double verif (tel ou sms) je prefere le sms) et la transaction commence. une fois finie personne ne peut accéder à mon routeur car physiqument la connexion n'est plus alimentée... ( je te donne des filons et non des réponseS.... A toi de les explorer.

le bruteforce est une démarche qui n'est plus logique on apprend cela en ecole mais c'est du passé... C'est comme stalone face à 200 méchants c'est irrationel mais cela fait plaisir. Le but de cela est d'obtenir un déni de services. En quoi un syno peut-il être interessant ? SI il est planté personne ne peut y accéder lol.

donc oui le BF est un danger mais pas pour toi. mais si tu le penses alors tu dois prendre un logiciel à algorhitme changeant qui te donnera une clé nouvelle toutes les millièmes de seconde... pas réaliste ???

 

proxy vpn

oublies 20 secondes tes remarques pertinentes et envisages ceci : un syno ou autre en vpn client auprès d'un serveur vpn ( la liste est longue) il est en écoute pour avoir une adresse ip identique que lui offre le vpn de ta machine ( exemple prends 2 abonnements vpn chez le meme vpn tu auras tres souvent la meme ip mais pas le meme port...)

si tu as  ton propre vpn et que tu te connectes par un vpn serveur ... quelle est la probabilite que quelqu'un te piste ,, comptes les ports ( en math on dirai x ports puissances 65 milles et quelques)

donc en résumé - si j'ai correctement repris tes remarques :

crez une clé tres forte et une clé faible

fais le calcul du temps que mets tes nas a envoyer et recevoir des fichiers de 1 10 100Mo

fais la meme chose avec un vpn....

enfin trouve le bon éuilibre entre temps securite et compression

Et tu verras que parfois c'est la rapidit" connrx deconnrxion qui prime et non le cryptage;

Espérant avoir répondu

bonne soirée à toi

 

 

Oula, ça devient un peu trop technique pour moi, j'ai pas le niveau pour suivre... enfin pas les compétences.

Mais j'ai saisi le principe global.

Le débit est forcément limité soit par ma connexion montante chez moi, soit par la descendante de là où je suis pour accéder à mon NAS.

Par contre, de là à faire des VPN sur VPN pour accéder à mes données... je crois pas que j'ai un quelconque intérêt à faire ça... sans parler que j'en suis incapable...
 

J'espère que juste que ce que j'ai mis en place me sécurise quand même, ma connexion à mon NAS, mes données... (qui ne sont pas spécialement cryptées sur les hdd du NAS).

[Einsteinium]

Nan mais le mec il porte bien son pseudo... Il écrit un peu de la m.... Va voir sur ses autres messages tu comprendra un peu mieux le loustic... La drogue c'est mal...

Modifié le 25 août 2015 par Einsteinium

[gaetan.cambier]

De toute façon si on te fait une attaque Man in the middle, tu auras une alerte concernant le certificat (ce que tu avais à la base)

maintenant sha256 en 2048 c'est suffisant, faire plus c'est de la paranoïa je trouve ^^

Le mieux, c'est les certificats à courbe elliptiques. Plus rapide que RSA et une meilleure sécurité

[Einsteinium]

Je connaissais même pas... Le soucis c'est que maintenant que le synology permet de le faire simplement en auto signé dans l'interface du DSM avec persistance... Bah c'est du sha256 en 2048bits, avant c'était un peu relou en ligne de commande à remettre après chaque maj majeure... Bref je reste sur ça pour le moment...

une petite référence pour l'auteur du topic : https://www.cambier.org/2014/12/19/generer-un-certificat-cryptographique-a-courbe-elliptique-ecc/

 

;-)

[gaetan.cambier]

Bonjour tout le monde,

Je viens de mettre en place des certificats SSL sur deux NAS présents avec deux IP publiques différentes afin de ne plus avoir d'alerte de sécurité à la connexion.

Je vous fais partager mon expérience via ce tuto.

Je me suis inspiré de plusieurs autres tuto sur le net dont je vous liste les adresses en fin de document dans les sources.

Le tuto est fini, sans trop de coquilles j'espère (je l'ai rédigé sur google Docs).

Voilà le lien pour ceux qui veulent aller le consulter :

[Tuto] Synology HTTPS & Certificat SSL (StartSSL) { sur Google Doc }

Sommaire :

1. Petites explications préalables

2. Pré-requis

3. Configuration du SSH sur le NAS

4. Création de la clé Privée

5. Méthode alternative de création de clé privée (remplace 3. et 4.)

6. Création du compte StartSSL et validation du NDD

7. Création du certificat StartSSL

8. Importation dans le NAS

9. Vérifications

10. Sources

 

Ancien titre : HTTPS + Certificat SSL : Besoin d'aide sur les choix à faire

Utiliser le sha256 pour le certificat, c bien, mais autant aller jusqu'au bout et prendre le certificat intermédiaire aussi en sha256 : https://www.startssl.com/certs/class1/sha2/pem/

Pour le openssl genrsa, l'option des3, il y a mieux si on veux sécuriser sa clé, aes128 aes192 ou aes256 : https://www.openssl.org/docs/man1.0.2/apps/genrsa.html

Mais dans tous les cas, sur ton serveur, tu as toujours besoin de la version non cryptée --> pourquoi protégé la clé et ensuite la décryptée, autant la générer non cryptée direct

[As Pirine]

Nan mais le mec il porte bien son pseudo... Il écrit un peu de la m.... Va voir sur ses autres messages tu comprendra un peu mieux le loustic... La drogue c'est mal...

Je connaissais même pas... Le soucis c'est que maintenant que le synology permet de le faire simplement en auto signé dans l'interface du DSM avec persistance... Bah c'est du sha256 en 2048bits, avant c'était un peu relou en ligne de commande à remettre après chaque maj majeure... Bref je reste sur ça pour le moment...

une petite référence pour l'auteur du topic : https://www.cambier.org/2014/12/19/generer-un-certificat-cryptographique-a-courbe-elliptique-ecc/

h

;-)

hé oui mon petit bonhomme,

quand on parle de m des autres faudra que cela éclabousse...

dans les entreprises, les gens comme toi, on les appelle des "promeneurs d'échelle"

tu sais ceux qui, comme toi, font du vent mais n'apportent rien à la société...

Mais je pense que "membre du conseil ..." a dû te monter un peu à la tête.

en tous cas, merci de ton intervention très créative et surtout qui en a ajouté au débat....

MDR

[Einsteinium]

Tu sais y a pas de sous métier, des porteurs d'échelles... Il en faut !

va relire les postes que tu fais... Sincèrement... C'est incompréhensible ! Surtout les inepties....

pour le rang... C'est automatique en fonction du nombre de message ;-)

bref stopons la population du post, cela embrouille l'auteur du topic...

[As Pirine]

Le mieux, c'est les certificats à courbe elliptiques. Plus rapide que RSA et une meilleure sécurité

mais dans son cas de figure aurait-il vraiment intérêt à le faire ?

De mémoire, il me semble que la démarche n'est qu'à sens unique ?

Autrement dit, s'il est chez lui il peut envoyer en contre-partie de chez ses parents mais le retour ne peut se faire.
Dans ce qu'il veut faire - si j'ai bien compris - c'est la possibilité d'un AR . Si sa bécane crame, je le vois mal entrain de faire 900 bornes pour donner à son serveur backup le moyen d'envoyer sur une nouvelle bécane les données perdues chez lui.

 

Ce qui me fait penser à quelque chose que personne n'a souligné : avoir un double de sa clé avec soi sur un support amovible afin de pouvoir réagir immédiatement en cas de coup dur.Je préconiserai le CD en lieu et place de la clé usb - respect des informations gravées plus durable que sur une usb.

Quel seraitt alors l'intérêt ?

Le backup c'est dans les 2 sens  qu"il doit marcher : ta machine crame tu en changes et appelles papa pour lui dire de mettre le courant

et tu réinstalles sur le champ ta bécane à partir de celle dont papa a la garde - il n'y aucune moquerie au fait de la présence de papa...! Cela pourrait etre Médor, mais je n'ai pas encore réussi à dresser mon chien à faire cela lol.

De mon point de vue si le backup ne sert que dans un sens alors autant graver des cd et les envoyer par la poste. pour moi le backup c'est avoir la possibilité de remettre tout en oeuvre à l'instant T du dernier backup.

Donc on va donner une petite leçon à notre Maître à penser, membre de je ne sais plus quoi :

un backup c'est un original immédiat, un original hebdo un original mensuel. Les entreprises soumises à certaines activités spécifiques c'est un original horaire ou bi-journalier. Et surtout en 2 exemplaires en plus pour 2 destinations différentes dans le cas malencontreux où l'original et un backup brulerait en meme temps. Cela ne s'est jamais vu mais c'est une sécurité. D'ailleurs les entreprises en charge de backup d'entreprises ne prennent qu'un seul exemplaire  pour éviter la destruction des 2 backups - carambolage - la voiture grille avec son contenu.

Enfin toujours pour notre Maitre à penser : Dès qu'un backup est déclaré intraitable, on faire une double copie du backyp en cours et de celui placé sur un autre site. (principe qu'une erreur de reproduction peut etre présente et avoir "foiré" un backup.....

 

Tu sais y a pas de sous métier, des porteurs d'échelles... Il en faut !

va relire les postes que tu fais... Sincèrement... C'est incompréhensible ! Surtout les inepties....

pour le rang... C'est automatique en fonction du nombre de message ;-)

bref stopons la population du post, cela embrouille l'auteur du topic...

donc tu reconnais que dans ce topic tu as fait 2 interventions sans intéret mais qui te propulseront bientot à la cime du conseil..

Tu es un sacré boute-en-train, et oui il n'y a pas de sots métiers mais je t'invite à prendre un dico - B Pivot  par exemple - et tu verras qu'être un porteur d'échelles n'est pas un métier mais un état d'esprit : celui de se faire une place en étant totalement inutile. Mais dans ton cas, cela fait rire.

C'est malheureux.

Mais saches  que tu es dans le coeur de toutes celles et tous ceux qui sont obligés de te lire et qui éclatent de rire.

Sur ce,

je vous souhaite bonne la soirée.

Pfff

après avoir rit comme je le fais, je n'aurai pas besoin de manger un steak....

 

[Einsteinium]

/mode Aspirine On

Moi ce qui dérange dans ce certificat, c'est en cas de cassure de sa courbe, il risque d'y avoir une courbure de l'espace-temps qui entraînera l'aspiration de la terre dans un trou noir

/mode Aspirine off

J'ai juste prévenue l'auteur que ton discourt n'étais pas très cohérent (j'en pouvais plus), afin que tu n'induise pas celui ci en erreur... Ta pas compris la boutade... C'est pas grave, sinon va te relire intégralement... Tu ne mangeras plus jamais de steak ;-)

le dernier message est lui aussi magnifique... XD

bon j'arrête d'intervenir, je conseille à l'auteur de faire nettoyer son topic via un modo...

Modifié le 26 août 2015 par Einsteinium

[Khaskouye]

Bonsoir

Merci beaucoup pour le tuto très clair. Sauf que.

Pour ma part, mon nom de domaine est chez ovh, j'ai bien une adresse postmaster@xxx.com...mais à laquelle je ne peux accéder pour récupérer le code de validation. Je n'ai rien vu à ce sujet dans le sdifférents échanges...Any idea ? Merci beaucoup pour votre aide !