This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

Fenrir

[TUTO] Sécuriser les accès à son nas

90 messages dans ce sujet

il y a 10 minutes, PiwiLAbruti a dit :

192.0.2.3 est bien une adresse IP publique, elle n'appartient pas à la plage privée 192.168/16 (192.168.0.0-192.168.255.255).

Merci Piwi!

Partager ce message


Lien à poster
Partager sur d’autres sites

Bah j'essaie de faire des tuto propre avec des exemples pas trop dangereux (des fois que quelqu'un recopierait toutes les règles d'exemple), mais là pas de bol, ils ont confondu 192.0 et 192.168

En pratique, les équipements soho (box&co) n'en tiennent pas compte, donc routent ça comme une vraie adresse, mais elle sera droppée par le premier routeur bgp, donc pas de danger

ps : j'ai édité le tuto

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 19 minutes, Fenrir a dit :

Bah j'essaie de faire des tuto propre avec des exemples pas trop dangereux (des fois que quelqu'un recopierait toutes les règles d'exemple), mais là pas de bol, ils ont confondu 192.0 et 192.168

En pratique, les équipements soho (box&co) n'en tiennent pas compte, donc routent ça comme une vraie adresse, mais elle sera droppée par le premier routeur bgp, donc pas de danger

ps : j'ai édité le tuto

Merci Fenrir.

Donc concrètement dans la règle pour le port 80 et 443 on doit autoriser uniquement notre ip publique ? Car quand je le fais je n'ai plus accès de l'extérieur. Je dois autoriser soit tous soit une région spécifique.

Autre question dans le même ordre d'idée: quand depuis l'extérieur j'entre mon adresse monnom.dedomaine celle-ci pointant sur mon ip publique mon routeur la redirige forcément vers mon nas. J'ai donc la page de login du DSM qui apparaît. Hors il me semble que tu préconisait le VPN pour se loguer sur le DSM. Comment dès lors bloqué cela ?

Tout grand merci

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 2 heures, danielpm83 a dit :

Donc concrètement dans la règle pour le port 80 et 443 on doit autoriser uniquement notre ip publique ?

Non, c'est un exemple d'ip externe, si par exemple tu veux autoriser l'ip de tes parents sur un port qui ne serait pas déjà ouvert par les autres règles.

Il y a 2 heures, danielpm83 a dit :

quand depuis l'extérieur j'entre mon adresse monnom.dedomaine celle-ci pointant sur mon ip publique mon routeur la redirige forcément vers mon nas

seulement pour les ports que tu as configuré sur ton routeur

Il y a 2 heures, danielpm83 a dit :

Comment dès lors bloqué cela ?

Ne transferts pas les port 5000 et 5001 sur ta box

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 4 minutes, Fenrir a dit :

Non, c'est un exemple d'ip externe, si par exemple tu veux autoriser l'ip de tes parents sur un port qui ne serait pas déjà ouvert par les autres règles.

Ok je comprends. Donc concrètement pour un accès de l'extérieure je dois ouvrir le port 443 (utilisé dans le reverse proxy) à tous en provenance de la région définie?

il y a 7 minutes, Fenrir a dit :

Ne transferts pas les port 5000 et 5001 sur ta box

Étonnement, ils ne le sont pas. Seul le port 443 est ouvert actuellement.

Merci, j'ai vraiment l'impression d'être à la ramasse étant le seul à poser autant de questions sur la mise en pratique !

Partager ce message


Lien à poster
Partager sur d’autres sites
à l’instant, danielpm83 a dit :

Ok je comprends. Donc concrètement pour un accès de l'extérieure je dois ouvrir le port 443 (utilisé dans le reverse proxy) à tous en provenance de la région définie?

Seulement si tu as besoin de le faire ...

il y a 1 minute, danielpm83 a dit :

Étonnement, ils ne le sont pas. Seul le port 443 est ouvert actuellement.

Tu n'aurais pas transféré le port 443 vers le port 5001 ?

il y a 3 minutes, danielpm83 a dit :

Merci, j'ai vraiment l'impression d'être à la ramasse étant le seul à poser autant de questions sur la mise en pratique !

Tu as bcp de lacunes en réseau, donc tu as du mal à comprendre => https://openclassrooms.com/courses/les-reseaux-de-zero

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 2 minutes, Fenrir a dit :

Seulement si tu as besoin de le faire ...

Pour avoir accès à ceci depuis l'extérieur :

Capture.thumb.PNG.dd58fb1bfaafb303bee9730a0f5bae10.PNG

Je dois ouvrir le port 443 sur ma box comme ci-dessous ET autoriser les entrées via le pare-feu du Synology comme ceci ? Car quand je ne le fais pas, ca ne semble pas marcher de l'extérieur...

Capture.thumb.PNG.ad67e79c3c464e5c90a0319c1b51853f.PNG

il y a 2 minutes, Fenrir a dit :

Tu n'aurais pas transféré le port 443 vers le port 5001 ?

Non...

Capture.thumb.PNG.ece75553718e2c571c8e676f060e3eef.PNG

il y a 2 minutes, Fenrir a dit :

Tu as bcp de lacunes en réseau, donc tu as du mal à comprendre => https://openclassrooms.com/courses/les-reseaux-de-zero

Merci ! De la lecture...miam!

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour Fenrir,

Je suis consciencieusement ton tuto depuis quelques soirées (tu as dû t'en apercevoir :rolleyes:), et merci pour tout !

Je partais comme beaucoup je pense d'une conf ou mon compte principal faisait tout (admin et utilisation de tous les outils). Arrivé à la fin du tuto, j'obtiens désormais un MonAdmin bétonné capable d'administrer mais pas d'utiliser les applications ni de transférer des fichiers.

De simples Users doivent être créés pour ça et je suis désormais dans un "flou sécuritaire" pour ce qui concerne la partie "accès aux données" que tu expliques vouloir protéger le mieux possible dans ce tuto...

En effet, MonAdmin sait désormais tout administrer, mais il n'est pas fait pour du transfert de fichiers efficace (tous les débits réglés à 1o/s et Appli telles que File Station non autorisées). J'en déduis que le transfert de fichiers doit se faire via un utilisateur Lambda, qui aura donc simplement son mot de passe >10 caractères nettement plus faible que tout ce qui est mis en place pour sécuriser MonAdmin... Avec un accès en L/E aux fichiers du NAS pour Lambda, après avoir blindé la porte principale, n'est-ce pas une porte de service ouverte ?

Que recommanderais-tu pour une utilisation des transferts de fichiers PC->NAS de ce type :

- 50% local via l'arborescence Windows

- 40% local via PhotoStation Uploader

- 10% externe via File Station (depuis toujours en passant par le DSM, mais désormais par le port 7000 pour cibler l'appli en direct).

?

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour la porte de service, la question a déjà été posée :

Et pour les comptes "normaux", il faut bien leur laisser accéder au données d'une manière ou d'une autre. Mais si tu gère correctement les droits, un compte lambda ne pourra toucher qu'à ses données.

Pour tes transferts, je n'ai pas vraiment de réponse à apporter, chacun voit midi à sa porte.

Ce tuto est une suite de bonne pratiques, qui fonctionnent dans la plupart des cas, mais pas tous (typiquement photostation a une gestion de droits différentes).

Modifié par Fenrir

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 21 minutes, Fenrir a dit :

Pour la porte de service, la question a déjà été posée :

Et pour les comptes "normaux", il faut bien leur laisser accéder au données d'une manière ou d'une autre. Mais si tu gère correctement les droits, un compte lambda ne pourra toucher qu'à ses données.

Je me suis peut-être mal exprimé (ou alors je suis long à comprendre :redface:), mais le compte "bunker" à gros mot de passe + OTP ne me pose aucun stress. Je suis plus perplexe sur le compte Lambda de tous les jours, qui aura un mot de passe plus standard et sera un peu moins sécurisé, mais qui aura accès à toutes les données, lui.

Je dois m'en tenir à la "compartimentation" des accès aux données dont tu parles dans ton tuto je pense. ça limitera les dégâts.

Partager ce message


Lien à poster
Partager sur d’autres sites
  1. Rien ne t'oblige à moins sécuriser tes "comptes normaux"
  2. Rien ne t'oblige à permettre à tes comptes "normaux" un accès total aux données

=> à toi de faire le compromis entre sécurité et utilisabilité

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !


Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.


Connectez-vous maintenant