Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

Il y a 9 heures, Jojo (BE) a dit :

il faut que je vérifie tout ça ce soir à la maison

Je confirme, que pour HyperBackup j'ai du ouvrir le port de chiffrement SSH défini sur le Syno qui reçoit les données (Service de fichiers -> rsync)

Au niveau du Syno "émetteur", j'ai définis dans la tâche de HyperBackup -> Cible le port que j'ai ouvert pour le syno qui reçoit les données

Lien vers le commentaire
Partager sur d’autres sites

Ce qui est normal... Dropbox ne t'appartient pas et donc tu ne vas pas sur leur pare feu configurer telle ou telle règle ! Si tu avais voulu envoyer des données sur un de tes serveurs alors tu aurais certainement du configurer une règle dans le pare feu pour autoriser le transfert.

Envoyer des fichier non chiffrés sur Dropbox, c'est moyen quand on connait leur politique... Mais bon, chacun fait comme il veut.

Modifié par InfoYANN
Lien vers le commentaire
Partager sur d’autres sites

Salut @Fenrir

Merci pour ton tuto ultra détaillé 😁

Il y’a que le certificat que je n’ai pas touché  

J’ai toujours celui de Synology par peur de faire une connerie vue que je suis débutant. 

J’ai un mal de crâne maintenant 😝

C’est long mais au moins mon NAS n’est plus configuré n’importe comment.

Merci.

voila le rapport de l’analyse

C76716D7-EB15-44B2-B8D1-EA3709B49964.jpeg

Modifié par Corse_34
Lien vers le commentaire
Partager sur d’autres sites

Il y a 21 heures, InfoYANN a dit :

Ce qui est normal... Dropbox ne t'appartient pas et donc tu ne vas pas sur leur pare feu configurer telle ou telle règle ! Si tu avais voulu envoyer des données sur un de tes serveurs alors tu aurais certainement du configurer une règle dans le pare feu pour autoriser le transfert.

Envoyer des fichier non chiffrés sur Dropbox, c'est moyen quand on connait leur politique... Mais bon, chacun fait comme il veut.

Bonjour, en fait pour les données non chiffrée, j'avais lu quelque part mais je ne sais plus où que ça pouvait poser des difficultés avec hyperback up si on chiffre les données lors de l'envoi vers dropbox...

le pb se posant à la récupération/réinstallation des données. Raison pour laquelle je procède ainsi et également que nous n'avons rien de vraiment confidentiel...

Lien vers le commentaire
Partager sur d’autres sites

Oui mais j'ai peur de faire des bétises lors des tests de récupération.

Pour palier à ce "pb" j'ai 3 sauvegegardes différentes sur 3 supports différents.

Je fais le contrôle de l'intégrité, et pour une des sauvegardes c'est de la copy simple avec "usb copie" et là je peux lire sans pb la sauvegarde avec un autre pc.

Du coup je pense être bon de ce niveau là.

La sauvegarde dropbox est juste intéressante dans le cas d'incendie et vol de tous nos supports de sauvegarde, sachant quand même que l'un des DD est emporté au domicile pour réduire le risque...

Lien vers le commentaire
Partager sur d’autres sites

il y a 34 minutes, ers31 a dit :

Oui mais j'ai peur de faire des bétises lors des tests de récupération.

Pour palier à ce "pb" j'ai 3 sauvegegardes différentes sur 3 supports différents.

Je fais le contrôle de l'intégrité, et pour une des sauvegardes c'est de la copy simple avec "usb copie" et là je peux lire sans pb la sauvegarde avec un autre pc.

Du coup je pense être bon de ce niveau là.

La sauvegarde dropbox est juste intéressante dans le cas d'incendie et vol de tous nos supports de sauvegarde, sachant quand même que l'un des DD est emporté au domicile pour réduire le risque...

Ok pour de la copie simple qui te permet de lire en direct les données en espérant que tu les lis de temps en temps.

Pour le reste, ça ne sert à rien si tu ne restaures pas de temps en temps afin de vérifier TOI MÊME les données parce que si tu ne vérifies pas et que tes sauvegardes sont toutes corrompues alors je jour ou tu voudras restaurer, tu l'auras dans l'os.

Encore une fois, ne jamais se fier au système informatique.

 

Ce que tu peux faire et c'est ce que je fais une fois de temps en temps, c'est que je déplace mes données dans un dossier alternatif puis je fais une restauration. Ensuite, en plus de vérifier manuellement certains fichiers, je compare aussi les deux dossiers via un logiciel en SMB qui va pouvoir me détecter si soucis ou non. Mais encore une fois, la priorité pour vérifier une sauvegarde, ça reste l'homme !

 

J'insiste beaucoup sur ce point parce que j'en ai vu des personnes pensant avoir des sauvegardes mais en réalité elles étaient corrompues et inexploitables. Et forcément, ces personnes faisaient confiance à l'informatique et ne vérifiaient jamais leurs sauvegardes pensant naïvement qu'elles étaient bonnes.

Modifié par InfoYANN
Lien vers le commentaire
Partager sur d’autres sites

Le 21/06/2018 à 09:58, StéphanH a dit :

Du coup,  je ne comprends pas dans quel cas l'adresse en fe80:: est utilisée ...

Pour la découverte locale et la transmission directe (trop long à détailler sans faire un cours IPv6)

Le 21/06/2018 à 09:58, StéphanH a dit :

mon NAS log l'IPv6 de mon iPhone

plusieurs réponses possibles

mais avec quickconnect en chemin, je ne peux pas répondre

Le 21/06/2018 à 09:58, StéphanH a dit :

J'ai un gros doute sur le fait qu'une règle sur une sélection de pays fonctionne en IPv6

ça fonctionne de la même manière, exemple ici : http://www.ipdeny.com/ipv6/ipaddresses/aggregated/fr-aggregated.zone

mais avec quickconnect en chemin, je ne peux pas répondre

Le 05/07/2018 à 19:06, Corse_34 a dit :

voila le rapport de l’analyse

Les services LAN sont accessibles depuis Internet => c'est un gros problème (le reste est ok) => tu as du rater un truc dans la section Firewall => traité dans un autre post

 

Modifié par Fenrir
Lien vers le commentaire
Partager sur d’autres sites

Merci@fenrir pour tes réponses.

Pour les v6 locales, je constate qu’elles sont utilisées lorsque je suis sur mon LAN dont le routeur n’est pas IPV6. Je n.ai pas encore tout compris à IPV6 mais il semble que ce soit normal (un genre découverte locale)

Ces deux derniers cas montrent un vrai changement de comportement entre v4 et v6 pour la sécurité de nos NAS : il faut vraiment y aller molo et bien comprendre ce qui se passe (ou essayer ..) avant de migrer les yeux fermés.

Pour le firewall, mes culpa, ça semble fonctionner. J’aurai dû poster un correctif à mon post ...



(Rédigé avec Tapatalk)

Lien vers le commentaire
Partager sur d’autres sites

Le 11/07/2018 à 23:07, StéphanH a dit :

Ces deux derniers cas montrent un vrai changement de comportement entre v4 et v6 pour la sécurité de nos NAS : il faut vraiment y aller molo et bien comprendre ce qui se passe (ou essayer ..) avant de migrer les yeux fermés.

;)

Le 01/12/2016 à 19:33, Fenrir a dit :

Pour l'IPv6, même si je ne devrais pas le dire (car l'IPv6 c'est bien), du point de vue sécurité je vous recommande de le désactiver pour le moment.

un peu de lecture :

  • http://livre.g6.asso.fr/index.php/Table_des_mati%C3%A8res
  • https://cisco.goffinet.org/adressage-ipv6/
Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

Bonjour

 

Un grand merci pour ce super tuto. Je suis totalement débutant et j'ai appris beaucoup de choses. Je reste néanmoins loin de "tout" comprendre. J'y vais par étape.

J'ai suivi le tuto et appliqué presque tous les paramétres. Au moment de mettre les régles du parefeu j'ai ce message d'erreur: J'ai pourtant relu/refait/relu/refait. J'oublie quelque chose ? (mac book air via freebox revolution)

Mon nas me sert à la maison pour un usage de "débutant". Je gère mes photos et quelques films.

Pour l'instant je ne me sers que de mon compte perso créé par défaut qui a aussi les droits admins. Je comprends que tant que je reste en local "tout va bien" mais dés que je me connecte sur un réseau extérieur c'est plus dangereux. Si je veux accéder à mes photos sur mobile via l'appli moment mieux vaut me connecter avec un autre compte user je suppose et activer le partage de bibliothéque ?

 

Merci 

 

FWparameters.png.8d1038f3fedf514a7c1113b59343a517.png

errorFW.png.9a4a47a8763695943da61f6f018b1742.png

Modifié par FloAk
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.