Port de connexion obligatoire

[Invité]

Bonjour à tous,

je rencontre un souci handicapant au quotidien.......

Comme tout le monde, pour sécurisé mon NAS depuis un accès externe j'ai changé toutes les ports par défaut des services que j'utilise, puis j'ai effectué une redirection sur chacun de ces ports dans les réglages de ma box internet.

J'ai attribué une IP fixe à mon NAS sur mon réseau local, et rattaché mon NAS à mon domaine chez OVH avec résolution de DNS.

Jusque là j'ai tout bon ??

Le problème arrive..... quand je souhaite me connecter aux services via les application iphone par exemple. Je tape mon nom de domaine, mon nom d'utilisateur et mon mot de passe mais si je ne termine pas la saisie de mon nom de domaine par ":XXXX" pour le numéro de port utilisé par le service, la connexion est refusée...

Alors forcément je suis contrarié ! Si j'utilise un nom de domaine c'est par soucis de facilité de mémorisation, mais là il me faut connaitre tous les différents ports utilisé par chacun de mes services....C'est un peu lourdingue NON ???

Le problème devient ingérable lors de la première connexion d'un nouvel utilisateur car le nom de domaine transmis par mail ne précise par le numéro du port. Et l'utilisateur n'arrive donc pas à se loguer.

Merci d'avance pour votre contribution.

[Fenrir]

Il y a 2 heures, la_mule a dit :

Comme tout le monde

pas comme moi

Il y a 2 heures, la_mule a dit :

pour sécurisé mon NAS depuis un accès externe j'ai changé toutes les ports par défaut des services que j'utilise

ça ne sécurise en rien et ça complique les choses (comme tu viens de t'en rendre compte)

Si tu tiens à sécuriser ton nas :

• mets un vrai mot de passe (10 caractères avec MAJ, min et chiffres + caractères spéciaux si possible) sur TOUS les comptes et changes les au moins 2 fois par ans
• configure le firewall du nas pour n'autoriser les accès QUE depuis les pays où c'est nécessaire (si tu n'autorises que la France et les pays limitrophe, ça bloquera 90% des "attaques")
• active les autres protections (anti brute force, ddos, ...)
• configure correctement ton système de sauvegarde

Il y a 2 heures, la_mule a dit :

C'est un peu lourdingue NON ???

c'est surtout très logique, quand tu te rends quelque part, il te faut une adresse complète (pays, ville, rue, n° dans la rue, n° d'appartement, ...) et bien ton nas c'est comme un immeuble avec 130000 appartements (65k ports tcp et 65k ports udp)

Quand tu entres une adresse dans ton navigateur, tu n'es pas obligé de préciser le port car, par défaut, les navigateurs vont sur le port tcp 80. Si ton site n'est pas sur ce port, comment veux tu que ton navigateur devine celui à utiliser parmi les 130000 ports (tcp+udp) existants ?

=>

• pour les appli mobile, pas de miracle, il faut soit utiliser les n° de port par défaut, soit préciser ces numéros
• pour les appli WEB, tu peux utiliser un reverse proxy et dire, par exemple, que https://file.ton.domaine renvoi FileStation

ps : les titres en majuscule c'est très mal

[Mic13710]

Je complète l'explication de Fenrir en ajoutant qu'on peut n'avoir qu'un seul port pour accéder aux applications standards en activant les alias dans le portail des applications.

Par exemple en https :

pour accéder à DSM : https://MonIPPubliqueOuMonDNS:5001

pour accéder à file station : https://MonIPPubliqueOuMonDNS:5001/file

pour accéder à audio station : https://MonIPPubliqueOuMonDNS:5001/audio

idem pour download station, video station, surveillance station...

[Invité]

Merci pour toutes ces explications très précises. Je comprend le pourquoi du comment maintenant. Effectivement sans numéro de port difficile de trouver le bon parmis les 130 000 possible !!

Le fait d'avoir changer les ports vient de différents post à travers le web qui suggèrent cette action pour éviter les robots qui ping les ports par défaut de nos Syno....

je passe peut être pour un psycho, mais je préfère changer les ports à partir du moment où cela apporte un plus à la question de sécurité.

J'ai déjà activé la localisation par IP, la double authentif, la protection DDOS et une sauvegarde sur HHD externe sauvegarde qui devrait etre remplacée d'ici peu vers un solution de chez BACKBLAZE....

 

 

[Fenrir]

Il y a 3 heures, la_mule a dit :

Le fait d'avoir changer les ports vient de différents post à travers le web qui suggèrent cette action pour éviter les robots qui ping les ports par défaut de nos Syno....

Synology le conseil aussi, mais en pratique ça ne sert à rien sauf, cas assez rare, réduire l'efficacité d'un scan qui cible expressément les syno (c'est déjà arrivé), mais ça fait un moment qu'on n'en voit plus, les pirates préfèrent l'IoT (en ce moment c'est les caméras chinoises), c'est tellement plus facile et il y en a tellement plus.

Il y a 3 heures, la_mule a dit :

je passe peut être pour un psycho, mais je préfère changer les ports à partir du moment où cela apporte un plus à la question de sécurité.

Les scan ne se limitent pas à quelques ports, ils scannent tous les ports existant de toutes les ip (ou presque, ils essayent quand même d'éviter les honeypot). Donc changer de port n’empêchera pas ton nas d'être découvert et si quelqu'un veut attaquer les syno, même avec des ports modifiés, on reconnaitra tout de suite que c'est un syno avec la signature du serveur.

Un conseil, si ça te rassure de changer les ports, ne les change pas sur le nas directement, mais via la translation de port de ton routeur.

[Mic13710]

Pour ma part, je n'ai pas changé les ports par défaut. Un paramétrage du parefeu suffisamment restrictif qui ne laisse passer que les services que j'utilise venant d'IP de pays "amis", des mdp costauds et le blocage permanent des IP qui se font trop insistantes, même avec ça je n'ai pas d'attaques particulières à signaler. Les seules rares tentatives se font généralement sur les ports assignés, très peu sur les ports standards Synology.

[toutnickel]

Bonjour Mic13710

j'ai un soucis avec le https 

je suis bien redirigé au niveau du port 5001 dans mon routeur, mais quand je me connecte en https

je n'y accède pas, j'ai ce message " "Le certificat de sécurité de ce site web présente un problème."

aurais tu une idée du problème ?

 

[Mic13710]

Quel type de certificat ? autosigné ? sur un nom de domaine ? par quel organisme ?

[toutnickel]

Merci le problème de certificat est résolu est résolu voir ce lien :

 

Le 25/10/2016 à 22:53, Fenrir a dit :

• configure le firewall du nas pour n'autoriser les accès QUE depuis les pays où c'est nécessaire (si tu n'autorises que la France et les pays limitrophe, ça bloquera 90% des "attaques")
• active les autres protections (anti brute force, ddos, ...)

Bonjour 

je reviens sur un de tes messages Fenrir

comment fait on dans le Firewall pour n'autoriser que les accès depuis la France et les pays limitrophe ?

merci

bonne journée

 

 

[Fenrir]

Va voir le tuto présent dans ma signature