Lien de partage et visibilité du port

[cspopomme]

Bonjour à tous,

Afin de sécuriser l'accès à mon NAS, j'ai modifié les ports 5000 et 5001 de DSM par les ports 54000 et 55000 (ce sont des faux, pour l'exemple ;) )

Ensuite, j'ai parametré ma box pour rediriger le port 55000 vers mon nas.
Je n'utilise pas quickconnect, j'ai un ddns synology du type : blablabla.diskstation.me

Mon problème : Quand je partage un fichier avec quelqu'un, le lien est du type : blablabla.diskstation.me:55000/f5d2e5f4s5e

=> Comment puis-je masquer le port ? Car ça pose un gros problème de sécurité...

 

Thanks !

[cspopomme]

D'ailleurs c'est étonnant qu'on voit le port, car le but de changer celui par défaut c'est de sécuriser l'accès à son NAS...

Quelqu'un à la solution ? ou une piste?.. ? siouplé 

[Mic13710]

Je n'ai pas de solution, mais le but de changer de port c'est surtout d'éviter que les petits rigolos viennent snifer les ports les plus utilisés. Les 5000 et 5001 en font partie car vu le nombre de Syno en service, c'est une bonne ouverture. Après, il y a le pare-feu avec la limitation du nombre de tentatives de connexion et le blocage des régions (très efficace contre certains pays où hacker est un sport national).

Perso, je n'utilise que le 5001 (https) pour mes accès externes (le 5000 uniquement en interne) et c'est comme ça depuis des années. Aucune tentative d'intrusion à déplorer sur ce port.

[cspopomme]

D'accord merci, 

Du coup c'est déjà plutôt bien que le 5000 et 5001 ne soient pas fonctionnels, et que j'ai mis deux ports "exotiques" à la place c'est bien ça ?

Ensuite, tant pis pour le partage je vais continuer comme ça, même si on voit du coup le port que j'ai mis :/ 

[PiwiLAbruti]

Quelque soit le port extérieur que tu choisisses, il sera toujours visible.

[Mic13710]

Bien sûr. Mais comme je vous l'ai dit, je n'ai pas changé le mien et je n'ai pas de problème jusqu'à maintenant. C'est plus par flemme car il faudrait alors que je corrige tous les liens existants.

Le plus important reste tout de même de mettre en place des règles de pare feu très strictes et très restrictives ce qui est de loin la meilleure des protections pour ne pas laisser rentrer n'importe qui.

Modifié le 25 février 2016 par Mic13710

[cspopomme]

Il y a 1 heure, PiwiLAbruti a dit :

Quelque soit le port extérieur que tu choisisses, il sera toujours visible.

Comment ça ?

[PiwiLAbruti]

Le seul moyen de masquer un port dans une URL HTTP est d'utiliser les ports standards (tcp/80 ou tcp/443). Sinon il reste la solution du reverse proxy.

[Kramlech]

Il y a 9 heures, cspopomme a dit :

=> Comment puis-je masquer le port ? Car ça pose un gros problème de sécurité...

A partir du moment où tu fournis une URL qui pointe sur ton NAS, j'ai du mal à comprendre en quoi donner aussi un numéro de port pose un "gros problème de sécurité" ...

[cspopomme]

Il y a 14 heures, Kramlech a dit :

A partir du moment où tu fournis une URL qui pointe sur ton NAS, j'ai du mal à comprendre en quoi donner aussi un numéro de port pose un "gros problème de sécurité" ...

Et bien si la personne n'est pas de confiance, elle à du coup le port d'accès au dsm. (je sais je suis parano ^^)
=> le but pour moi de changer le port DSM c'était justement parce que tout le monde sait que c'est le 5000 et 5001 par défaut.

Il y a 15 heures, PiwiLAbruti a dit :

Le seul moyen de masquer un port dans une URL HTTP est d'utiliser les ports standards (tcp/80 ou tcp/443). Sinon il reste la solution du reverse proxy.

Le reverse proxy ? 
j'ai lu ici un tuto là dessus mais je n'ai pas bien saisi l'utilité. Peux-tu m'expliquer simplement les avantages, utilités de cette méthode ? En quoi ça consiste 

 

Merci beaucoup

[PiwiLAbruti]

Étant donné que tu débutes avec les NAS et la sécurité des réseaux, ce n'est pas très important.

[Mic13710]

Je ne vois pas moi non plus le problème. Il y a les ports standards (80, 443, etc....) et que je sache, vous ne les bloquez pas ? Et donc donner un port spécifique qui est dirigé vers le NAS dont le pare feu correctement paramétré, a beaucoup moins de chance d'être piraté que votre PC.

Le peu de personnes à qui vous le communiquez est surement très réduit, si bien qu'il est peu probable que des hackers puisse un jour le connaître et qu'ensuite ils arrivent à passer le pare-feu. A moins que vous ayez des secrets d'états, il faut éviter de tomber dans la paranoïa.