question sur la connexion sécurisée HTTPS

[Janus]

Bonjour,

 

Afin d'améliorer la sécurité de mn NAS je me suis penchée sur les accès par le biais d'une connexion sécurisée.

Pour le moment j'avais suivi le tuto de Fenrir, mais je m'étais limitée à paramétrer le pare feu, sachant que je n'ai pas mis d'autorisation pour le port 5000 sur le pare feu, il n'y a pas d'accès possible par ce biais (enfin j'espère!) j'accède aux différentes applications directement (un port spécifique pour chaque application)

j'ai donc activé la redirection http sur https, puis je suis aller créer un certificat avec letsencrypt (pas réussi du 1er coup mais au 2eme ça à  l'air de marcher), puis j'ai enlevé le certificat par défaut, et j'ai fait des tests:

il y a plusieurs choses que je ne m'explique pas:

je pensais naïvement qu'en faisant la redirection, si je me connectait par: http://monnas.synology.me:7000, par exemple, cela allait me rediriger directement sur https://monnas.synology.me:7001 et que j'accèderais à filestation d'une manière sécurisée,??

en fait, non je tombe bien sur filestation mais du coup par une connexion non sécurisée (je suppose ??) et si je tape la meme adresse mais avec https:// je tombe aussi sur filestation mais avec une connexion sécurisée ?? est ce normal? (ma question est peut être idiote?)

j'ai un autre problème qui concerne les applications DS radio/ Video/File: pour ds audio j'ai le port 8800 et 8801, si je tape https://monsas.synology.me:8800, j'accède à mes fichiers, mais pas site tape https//monnas.synology.me:8801, (échec de connexion veuillez vérifier que l'adresse IP du diskstation est correcte)

 

au final je crois que je fini par m'embrouiller avec les ports et je n'arrive pas à être sur que mon nas est bien sécurisé,

si quelqu'un peut m'éclairer, toute aide sera la bienvenue !!

 

bon WE

 

 

Modifié le 10 février 2017 par Janus

[Fenrir]

La redirection HTTP->HTTPS concerne uniquement DSM, pas les applications, de plus elle peut créer d'autres soucis.

Pour arriver à tout passer en HTTPS avec redirection, je te recommande le combo php+reverse proxy (j'ai donné des exemples dans le tuto).

 

[Janus]

Bonjour, et merci de ta réponse, je n'avais pas compris ça en fait.

quand tu parles d DSM, tu parle de l'interface pour l'administration, donc au final vu que je n'administre pas mon Nas depuis l'extérieur (je n'ai pas ouvert ces ports dans le pare feu n'ai dans la box finalement) est ce que la redirection sur https:// à un intérêt pour moi? 

Ce qui m'amène à une deuxième question, si cela n'a pas d'intérêt et donc que je l'enlève, mon nas est il assez sécurisé?,

donc au final sur mes appli iPad/iPhone ça ne sers à rien de me connecter en https, et pour le port 443 aucun intérêt non plus de l'ouvrir?

j'avais lu dans ton tuto la partie sur le reverse proxy, mais vu mon niveau pas sûr que j'arrive à faire ce genre de config....

 

 

[Janus]

en me baladant sur le forum je suis tombée sur cette discussion très intéressante:http://www.nas-forum.com/forum/topic/54150-accès-local-connexion-pas-privée/  (pour moi en tout cas !) qui vient de me faire comprendre pourquoi j'avais un message d'erreur sur le certificat quand je me connectais via mon réseau local sur l'adresse 198 etc..

du coup ça à l'air de confirmer le fait que si je n'ai pas ouvert les ports 5000 et 5001(car je ne souhaite pas d'accès au DSM autrement que par mon réseau local) la redictection en https ne présente pas d'intérêt?

 

[Fenrir]

La case de redirection HTTP->HTTPS elle même ne présente pas grand intérêt car elle ne s'applique pas partout et créé parfois des problèmes.

Il vaut mieux gérer les redirections d'une manière qui fonctionne pour toutes les applications, c'est ce que permet le petit bout de php combiné au reverse proxy (ce n'est pas pour ça que j'en avais parlé dans le tuto, mais il s'avère que c'est la méthode la plus fiable actuellement).

Pour te répondre de manière plus générale.

• Le fait que la "connexion" soit en https limite les risques d’interception de données (login/pass par exemple) lors de l’utilisation de réseaux peu fiables (wifi ouverts, hotspot, certains pays, ...), c'est aussi valable pour les appli sur mobile
• Si un navigateur indique que la connexion n'est pas sécurisée c'est qu'il y a un soucis :
  • le site n'utilise pas de certificat (ça peut être un choix), si c'est en local (pc et site dans le même réseau), ce n'est pas grave
  • le certificat est invalide (pas signé, mauvais nom, expiré, ...) => ça il faut toujours le corriger, c'est important

À titre personnel, je n'ai pas envie de me poser la question de l'adresse à utiliser et de la validité du certificat en fonction de l'endroit d'où je me connecte (maison, vpn, amis, ...), donc j'ai tout passé en HTTPS et j'utilise les mêmes adresses dans tous les cas. Ce n'est pas le plus simple à mettre en place, mais une fois qu'on a bien compris le fonctionnement, c'est tellement plus confortable à l'usage qu'on se demande pourquoi on ne l'a pas fait depuis le début.

ps : mes 3 gros tuto (Sécu, VPN et DNS) sont liés, il ne faut pas forcement tout suivre, mais il faut tout lire, ça permet d'avoir une vision d'ensemble plus précise.

[Janus]

Merci de ta réponse, au final j'ai décoché la case qui effectivement ne présente pas d'intérêt. Par contre je galère à comprendre comment configurer et gérer les redirections et le reverse proxy pour le moment je nage complet...

Actuellement je n'ai ouvert sur ma box que les ports correspondant aux applications audio/video et file station et le port 80. j'ai paramétré le parfeu avec des règles en local comme sur ton tuto + des règles d'autorisation via des IP en France pour les ports 7000/7001 8800/8801 et 9007/9008 ce qui correspond aux appli citées + haut et autorisation port 80/443

je n'ai pas configuré de reverse proxy (pas compris grand chose pour l'instant)

de l'extérieur je me connecte sur iphone via https et l'adresse du domaine + port 8800 par exemple, la connexion est elle sécurisée?

et depuis un navigateur du bureau par exemple, soit http nom de domaine et port 8800 et ça m'indique que la connexion n'est pas sécurisée, et j'arrive bien sur audio station soit par https nom de domaine et port 8801 et je n'ai pas de message d'erreur et j'arrive aussi au même endroit

 

je patauge complètement ...

 

[Fenrir]

Si tu veux être certain de n'utiliser que des connexions chiffrées sans passer par des redirections ou le reverse proxy, n'ouvre tout simplement pas les ports non chiffrés

Par exemple, si 7000 est en http et 7001 et en https, n'ouvre que le 7001.

Pour le message du navigateur, il faut faire la différence entre connexion non sécurisée et non chiffrée.

[Janus]

oui c'est exactement ce que je m'étais dit, je n'ouvrais que les ports 7001 8801 etc, ça fonctionne bien depuis un navigateur depuis l'extérieur, mais pas depuis mes appli sur iphone en externe car là la connexion part le port 8801 génère un message d'erreur, échec de connexion, veuillez verifier que l'adresse IP du diskstation est correcte.....

pour le message d'erreur de navigateur, c'était "connexion non sécurisé" il me semble ça ne parlait pas de connexion chiffrée

[Fenrir]

Pour les applis mobile, si tu souhaites faire du chiffré, il faut :

• cocher la case HTTPS sur l'écran de connexion de l'appli
• et avec certaines applis, avoir un certificat valide installé sur le nas

Pour le navigateur, si l'adresse commence par https://, la connexion est chiffrée (elle peut ne pas être sécurisée si le certificat n'est pas valide).

[Janus]

ah bah, je suis la reine des nouilles, effectivement je n'avais pas coché sur l'appui la  case  HTTPS, ça marche sur audio station, je vais tester les autres mais ça devrait être bon aussi.

du coup le plus simple pour moi c'est de couper sur la box les ports non chiffrés (7000/8800 etc)

pour le navigateur, la connexion est donc chiffrée en https, sachant que je n'ai pas de message d'erreur concernant le certificat (que j'ai crée via letsencrypt) je suppose qu'elle est également sécurisée?

Une dernière question bête, si je ferme les ports concernés non chiffrés, c'est quoi l'intérêt du reverse proxy et de la redirection des ports ??(en matière de sécurité, ) 

Modifié le 12 février 2017 par Janus

[Fenrir]

il y a 14 minutes, Janus a dit :

pour le navigateur, la connexion est donc chiffrée en https, sachant que je n'ai pas de message d'erreur concernant le certificat (que j'ai crée via letsencrypt) je suppose qu'elle est également sécurisée?

oui

il y a 15 minutes, Janus a dit :

Une dernière question bête, si je ferme les ports concernés non chiffrés, c'est quoi l'intérêt du reverse proxy et de la redirection des ports ??(en matière de sécurité, ) 

Dans les navigateurs, la plupart des gens, on va dire 99,999% de la population, entrent monnas.mondomaine.com et pas https://monnas.mondmaine.com:8801

La redirection couplée au reverse proxy permet d'être sûr que la connexion est sécurisée tout en gardant le confort d'une adresse simple à retenir et à saisir.

Le lien avec la sécurité ? Si c'est contraignant, les gens abandonnent, donc si on souhaite sécuriser, il faut faire en sorte que ça soit le plus transparent possible.

[Janus]

Super pour toutes ces explications très claires, je vais conserver les paramètres ainsi fait sans le reverse proxy ( trop compliqué pour moi pour le moment)

ca ne me gêne pas de rentrer le n° du port car pour le moment je n'utilise que 3 appli donc pas trop dur de mémoriser les ports

je lirais tes 2 autres tuto sur les vpn et le dns (que j'avais mis de côté car un peu hardu pour moi!)

juste une dernière chose, je suis obligée de laisser les ports 80 et 443 ouvert dans la box, je suppose pour que cela fonctionne ? 

merci encore pour ton aide 

Modifié le 12 février 2017 par Janus

[Fenrir]

Tu as juste à transférer les ports dont tu te sers, pas les autres.

[Janus]

ok merci pour ta réponse et ton aide, j'y vois un peu plus clair maintenant,

la prochaine étape devrait être le reverse proxy....j'ai commencer à regarder mais je nage un peu!

[gaetan.cambier]

un reverse proxy, c très simple si tu voir graphiquement ce que c'est :

Donc, tu as juste besoin de 2 chose dans le reverse proxy :

une adresse publique d'access ET adresse localle qui renvoit vers le serveur interne

pour filestation : https://filestation.mondomaine.com --> redirige vers --> http://localhost:7000

et ainsi de suite ... (bien + simple à retenir que la liste des port syno quand on est à l'extérieur )

 

[Janus]

bonjour

 

Merci de ce complement d'info, et de ce petit schéma très clair!

j'avais essayé en debut d'après mdi de le configurer, mais ça ne marchais pas, mais bon je n'ai pas du mettre les règles correctement, il me semblait qu'il y avait plus d'éléments à entrer que simplement :(pour filestation par exemple) l'adresse de filestation.mondomaine.me et l'adresse de redirection sur le port que j'ai paramétré dans les applications (7001 en l'occurence). Il me semblait qu'à un moment je devais entrer le port 443 quelque part ??

En fait je ne suis pas trop à l'aise avec la fonction des ports 80 ou 443. Autant je vois bien pour les 7001/8801 etc qui correspondent à des applications autant ces 2ports là c'est pas très clair pour moi. Je pensais d'ailleurs que j'utilisais le port 443, mais quand je le retire dans la redirection de ma box, tout fonctionne comme avant ??? donc ne me sert pas à priori (je croyais que pour la fonction https, ce port devait être automatiquement ouvert ...) je suis un peu embrouillé à ce niveau !!! mais bon petit à petit j'apprends des trucs...!

je vais essayer de me pencher dessus le WE prochain, surtout que si j'ai bien compris ça permet de laisser un minimum de ports ouverts en plus du fait de ne pas avoir à retenir toutes une liste de ports (même si assez courte pour l'instant dans mon cas!)

[Fenrir]

Par défaut, l'HTTPS utilise le port TCP 443, c'est tout, c'est juste le comportement par défaut des navigateurs (comme pour HTTP, par défaut ils vont sur le port TCP 80). Sinon 443, 7001, 9999, ... sont justes des "portes", c'est toi qui décide ce qu'il y a derrière.

La seule contrainte, c'est que comme certains ports sont standardisés, il vaut mieux ne pas les utiliser pour autre chose (il faut éviter de faire du HTTPS sur le port 80 par exemple).

Pour le nombre de ports ouverts, qu'il y en ait 1 ou 50, niveau sécurité réseau c'est la même chose. Ce qui compte c'est la sécurité de l’application qui est derrière.

Dernier point, la traduction en français de proxy (inverse ou direct) c'est mandataire, un proxy fait donc les demandes à la place du client et peut, si on lui en donne le droit, modifier ces demandes (et les réponses).

Par exemple :

• On configure : https://www.domaine.fr => http://localhost:7000 (filestation sur le NAS)
• On demande : https://www.domaine.fr => le proxy prend la demande (avec les éventuels paramètres, comme le nom de la page, les post/get, ...) et la transmet à http://localhost:7000
• L'application qui écoute en local sur le port 7000 (filestation ici) répond au proxy (puisque pour le nas, le client c'est le proxy) et le proxy transforme la réponse pour la renvoyer au vrai client

[Janus]

Merci pour ce complément d'information, en fait je croyais qu'il valait mieux avoir le moins de ports ouverts pour une meilleure sécurité.

pour ce qui est du port 443, je n'avais pas compris que c'était un port part défaut. Perso je n'ai rien attribué à ce port donc logique que de le fermer dans la box ne change rien ( pareil pour le port 80 auquel je n'ai rien attribué non plus)

par contre dans ton tuto sur le reverse proxy, je ne comprends pas quand tu dis: "J'ai ensuite configuré le Proxy inversé pour faire correspondre les différentes applications avec des noms de domaine différents mais sur un seul port (tcp 443/https)"

Perso toutes mes applications ont le même nom de domaine, mais je ne vois pas comment les faire correspondre à un seul port ?, ( je n'en ai d'ailleurs peut être pas l'utilité?) pour moi chaque appli devait avoir son propre port 7001/8801 etc...)

 

[Fenrir]

Au lieu de faire une correspondance port=>application j'ai fait une correspondance nom.de.domaine=>port=>application. Le rôle intermédiaire est joué par le mandataire.

C'est juste un choix pour n'utiliser que des ports "standards" HTTP et HTTPS (donc TCP 80 et 443), en aucun cas une obligation.

Tu peux aussi faire ça :

• nas.ton.domaine/file => filestation
• nas.ton.domaine/video => videostation
• nas.ton.domaine/audio => audiostation

Tout est question de choix et de préférences, chaque méthode à ses avantages et ses inconvénients.

[Janus]

Effectivement je comprends mieux maintenant

je te remercie pour toutes tes explications données au cours de ce long post. Je vais dormir dessus et m'y mettre le WE prochain, mais au final je crois que je vais pouvoir mettre en place le reverse prpxy car c'est déjà plus clair pour moi.

j'ai commencé en décembre (lors de l'achat de mon nas) avec quickconnect et quasiment aucune sécurité à part le mot de passe assez long . Petit à petit j'ai configuré le pare feu, viré quickconnect, mis en place l'accès sécurisé par https, viré également l'upnp sur ma box.... Tout doucement j'avance , j'ai jeté un œil sur tes 2 autres tuto, mais ça me fait un peu flipper!!! Peut être essayer celui sur le DNS serveur, mais juste le 1er niveau!

merci encore et bonne nuit