This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

TuringFan

Membres
  • Compteur de contenus

    196
  • Inscription

  • Dernière visite

À propos de TuringFan

  • Rang
    Padawan

Visiteurs récents du profil

Le bloc de visiteurs récents est désactivé et il n’est pas visible pour les autres utilisateurs.

  1. Bonjour @maxou56 et merci pour ton retour. Pardon pour le retour tardif, voici ce que j'ai noté :supert Je lis qu'il est conseillé de stocker le magasin de clés sur un support externe : pour quelle raison ? En choisissant un stockage externe on peut opter pour éjecter le périphérique après démarrage. On peut aussi choisir le montage au démarrage du dossier chiffré. Or dans le cas d'un vol, le voleur sans mdp admin devra faire un reset du NAS ce qui supprimera le montage au démarrage des dossiers et ceux-ci ne pourront être montés que si le voleur entre les clés de déchiffrement des dossiers (soit en saisie directe, soit en import de fichier soit via le gestionnaire de clés). Est-ce bien cela ? Je comprends ensuite que le gestionnaire de clés stocke les clefs en les chiffrant (les clés de chiffrage des dossiers sont mêmes chiffrées) : ce chiffrage de clés peut alors se faire par (i) phrase ou (ii) par clé machine. Il est conseillé d'utiliser une clé machine qui imposera le déchiffrement des dossiers avec ce NAS et que c'est un prérequis pour le montage automatique des dossiers. In fine Synology préconise donc l'utilisation d'un gestionnaire de clé stocké sur un support externe utilisant une clé machine pour le chiffrage des clés des dossiers et configuré avec un montage automatique au démarrage et une éjection automatique du support après démarrage. Dans cette configuration, (i) un voleur serait incapable d’accéder aux dossiers car le reset désactiverait le montage automatique et que ce voleur ne pourrait pas lire les clefs sur le support physique externe et (ii) en cas de panne il faudrait remonter les dossiers sur un autre NAS sans utiliser le gestionnaire de clés mais en rentrant une par une les clés de chaque dossier. Est-ce bien correct ? En revanche il reste des choses que je ne comprends pas dans cette configuration : Pour prévenir une impossibilité de déchiffrer les dossiers en cas de panne que dois-je conserver les clés que j'ai initialement rentré et/ou les exports (qui changent dans le temps) ? Si je choisis la clé machine je n'ai donc pas besoin d'une phrase pour le gestionnaire (comme une sorte de master mot de passe) ? En exportant les clés des dossiers chiffrés je me rends compte que (i) l'export est différent de la que j'ai entrée et (ii)si je fais N exports je vais avoir N valeurs différentes : pourquoi ? Il ne faut surtout pas chiffrer le dossier ui celui du gestionnaire de clés sans quoi le NAS ne pourrait plus le lire ? Merci d'avance pour vos aides,
  2. Question très pertinente de @guadeloupedom @Einsteinium as tu une idée ?
  3. TuringFan

    Chiffrement

    Bonjour @maxou56, Comme tu l'as déjà vu sur d'autres sujets je suis débutant en réseaux et en NAS. Idéalement je souhaiterais (i) utiliser mon NAS comme mon drive/cloud perso en y stockant toutes mes données dont celles sensibles (banque, etc.), (ii) dupliquer toutes mes données (sensibles ou non) sur une machine physiquement distante (probablement un autre NAS) et (iii) pouvoir accéder à ces données à tout moment à distance (modulo des clients sur mes appareils ou un accès ponctuel à DSM ou certaines appli clefs depuis un appareil qui n'est pas le mien mais uniquement via un VPN). Je comprends que le chiffrage d'un dossier partagé exige de monter le dossier (je ne maitrise pas le concept technique mais je crois savoir que cela rend le dossier accessible et en clair) à chaque fois que l'on veut s'en servir ou que l'on peut sinon rendre le montage automatique à chaque démarrage du NAS avec un gestionnaire de clefs, lui même protégé par "un master mot de passe", qui est stocké sur le NAS ou sur un périphérique externe (méthode à privilégier de ce que je lis). Je comprends aussi que le gestionnaire de clefs permet (modulo une option à cocher) d'éjecter le fameux périphérique de stockage après le montage automatique des dossiers chiffrés. Ainsi en cas de vol du NAS et du périphérique de stockage du gestionnaire de clefs, il faudrait au voleur connaitre/trouver soit le mot de passe d'un utilisateur du NAS (pour le redémarrer et donc lancer le montage automatique) soit connaitre/trouver le "master mot de passe du gestionnaire de clefs" pour remonter les dossiers en installant les disques dur sur son propre NAS par exemple. A cela vient ensuite s'ajouter la possibilité de choisir entre clef manuelle et clef machine, la seconde option imposant alors d'utiliser le NAS volé pour monter ses dossiers : le voleur ne peut donc plus monter mes disques sur son NAS même s'il connait/trouve le master mot de passe du gestionnaire, il lui faudra impérativement connaitre le mot de passe d'un utilisateur ou connaitre/trouver la clef machine. A toutes ces protections est également conseillé la double authentification (au moins pour les utilisateurs admin) et le changement régulier de mots de passe fort de tous les utilisateurs. On suppose ensuite que les mots de passe sont suffisamment forts pour considérer comme matériellement impossible de trouver les clefs dans un temps envisageable. J'ai donc plusieurs questions : Mes affirmations sont elles correctes ? Que se passe t il dans le cas du choix d'une clef machine si mon NAS tombe en panne ? Pourquoi le petit fichier téléchargé lors du chiffrement d'un dossier n'est il pas identique à mon mot de passe ? Je comprends que l'algo de chiffrement est symétrique : j'imagine donc que ce fichier doit rester confidentiel ? Que se passe t il si le voleur connait/trouve le mot de passe d'un utilisateur non critique qui n'a pas les droits d'accès aux dossiers chiffrés ? Que se passerait t il en cas de défaillance du support physique qui stock le gestionnaire (clef USB ou DD externe souvent moins fiables que la redondance du RAID des DD du NAS) ? Est il possible de dupliquer ce gestionnaire de clefs sur plusieurs périphérique voire même sur un autre NAS ? Comment chiffrer ses données et les exploiter avec file station, drive, moment, video station, audio station, etc (j'ai en effet cru lire qu'on ne pouvait pas chiffrer les dossiers du système) ? Est-il possible de chiffrer les échanges entre les clients de ses solutions et le NAS ? Est il possible de faire une copie "miroir" du premier NAS vers un second NAS tout en chiffrant les dossiers et en chiffrant les échanges entre les deux appareils ? Que ce passerait il alors si un couple NAS (le premier ou le second) et périphérique de stockage du gestionnaire de clefs étaient volés et/ou endommagés ? Pourrions nous alors continuer à utiliser de façon transparente drive, moment, video station, audio station grâce au NAS restant ou faudrait il paramétrer des accès similaires à ces solutions sur les deux NAS pour simplement éventuellement (si les clients sont par défaut connectés sur le NAS volé/endommagé) avoir à reconnecter les clients sur les comptes du NAS restant. Est il possible de chiffrer d'un seul coup le NAS dans sa totalité plutôt que de résonner dossier par dossier ? Je sais que cela fait beaucoup de demandes et qu'il te faudra peut-être te faire aider par d'autres pour y répondre mais je pense sincèrement que cela pourra intéresser beaucoup de monde. Merci d'avances à tous ceux qui pourront apporter leur aide sur le sujet.
  4. Dans ma liste au père noël alors mais j'imagine assez complexe à faire car échange entre machines. Je confirme c'est cool ça !
  5. TuringFan

    [Tuto] Reverse Proxy

    Pardon c'est bien 46156 que je tape et c'est bien ce que je mets dans la colonne http du volet application du portail applications.
  6. TuringFan

    [Tuto] Reverse Proxy

    Bonjour à tous, Autre petite question. J'ai désactivé le domaine personnalisé et le HSTS. J'ai fait la manipulation avec web station. Pour faire des tests j'ai appliqué le port http 49156 et le port https 49157 pour l'application Synology Drive. J'ai paramétré le reverse proxy (sans profil) vers le le port 49156. Aucun problème en tapant https://drive.ndd je suis bien redirigé vers l'application (depuis le LAN et le WAN) : j'imagine donc que je passe par le port 443 puis 49156. En revanche quand je tape http://IPNAS:49456 depuis le LAN impossible de se connecter : auriez-vous une idée ? Par ailleurs quand depuis le LAN/WAN je tape http:drive.ndd j'arrive sur une page d'erreur de web station sans être renvoyé vers https://drive.ndd. Quelqu'un pourrait il svp m'expliquer ce que je fais mal ? Merci d'avance,
  7. @oracle7, Merci pour la pédagogie. J'utilise effectivement un reverse proxy, mon port 443 restera donc toujours ouvert. Par contre si je comprends bien, même sans implémenter le code python, je peux fermer le port 80 (puisque en DNS-01) voire fermer également le port 443 aussi si il n'est pas utilisé (peu probable néanmoins), en revanche sans le code en python je devrais tous les 3 mois réaffecter le certificat aux différents services pertinents. Est-ce bien cela ? Qu'en est il des certificats dupliqués sur d'autres machines (un routeur par exemple) : a priori je comprends que le renouvellement est exogène au certificat et que celui reste inchangé post renouvellement et que donc il n'y aura aucune manipulation à faire sur le routeur ? Petite question technique : pour implémenter le code peut on passer directement à la partie 6. (renouvellement) ou faut il recommencer le tuto depuis le début ? Merci encore pour ce gros travail qui en plus de pla production et du temps que cela demande permet à des néophytes comme moi (grâce à une bonne pédagogie) de faire des choses qui étaient clairement hors de portée.
  8. Bonjour @oracle7 et @bruno78, Je suis débutant et clairement incapable de produire ce que vous avez fait mais ça ne m’empêche pas de me rendre compte du travail monstre réalisé ! Bravo ! J'avais en tête qu'avant l'arrivée du code le renouvellement automatique était généré via le planificateur de tache sous réserve de laisser lees ports 80 et 443 en permanence ouverts. Si je comprends bien ce code va donc permettre ce renouvellement automatique sans avoir à laisser ses ports 80 et 443 ouverts (ce qui est top d'un point de vue sécurité) et sans à avoir à réaffecter tous les 3 mois les services à couvrir avec le certificat : sur le papier on va donc pouvoir "oublier le sujet certificat à vie" pour tous ces "sous" domaines, c'est bien cela ? Merci encore, Je vais passer à l'implémentation dès que j'ai un peu de temps.
  9. TuringFan

    [Tuto] Reverse Proxy

    Merci @alan.dub, je viens de le désactiver. J'avais déjà fait la manip avec web station mais j'ai bêtement réactivé le HSTS en repassant dessus ! As tu également des conseils sur les autres points ?
  10. Bonjour, Je suis débutant en réseaux et en NAS. J'ai suivi différents tuto (dont celui-ci qui est super) et je me retrouve aujourd'hui avec un pare feu qui impose une IP LAN ou VPN pour tous mes ports (dont le port DSM) sauf pour les ports 80, 443, (renouvellement de certificat LE et reverse proxy) et les ports 16881, 6681 et 6690 (liés à l'installation de BT et Synology Drive Server). Coté reverse proxy, mes redirections vers certaines applications "clefs" utilisent un profil qui impose une IP LAN ou VPN, la redirections vers d'autres applications moins critiques (vidéos, audio, photo, etc.) se fait sans filtrage des IP. J'ai par ailleurs activé le DoS, une redirection forcée du HTTP vers le HTTPS via Web Station (HSTS désactivé donc). Dois je encore effectuer certaines actions pour mieux me protéger, notamment les ports cités ci-dessus ? Dans l'état actuel de ma configuration, quels sont mes risques ? Merci d'avance,
  11. TuringFan

    [Tuto] Reverse Proxy

    Bonjour à tous, J'ai suivi ce super tuto et cela semble fonctionner : c'est très très pratique et la gestion de la sécurité au niveau d'une application spécifique se fait en imposant par exemple une IP LAN ou VPN dans un profil. J'ai maintenant une question de sécurité en lien avec le reverse proxy. Je suis débutant en réseaux et en NAS mais en faisant il paraît donc vraisemblable que beaucoup de propriétaires de NAS auront au moins les ports 80 et 443 ouverts (reverse proxy, renouvellement certificats let's encrypt, etc.). Si je me mets donc à la place d'une personne mal intentionnée je vais notamment cibler ces ports dont on fait l'hypothèse qu'ils sont ouverts : comment se protéger ? De mon côté j'ai activé le blocage auto des IPs et le DoS : y a t il d'autres choses à faire ? Dans le volet "applications" du portail des applications je ne vois pas BT et Synology Drive Server qui imposent l'ouverture des port 16881, 6681 et 6690. In fine je me retrouve donc avec un pare feu qui impose une IP LAN ou VPN pour tous mes ports (dont le port DSM) sauf pour les ports 80, 443, 16881, 6681 et 6690. J'ai par ailleurs activé le DoS, la redirection HTTP vers HTTPS via web station (le blocage auto et le HSTS) et un profil imposant les IP LAN/VPN sur le reverse proxy d’applications que j'estime clefs. Suis-je en risque ? Merci d'avance, PS : ne sachant pas si je poste au bon endroit j'ai également posté ici. Je garderai le premier avec une réponse et supprimerai l'autre.
  12. Merci @.Shad. et pardon pour ce retour si tardif. Drive est bien associé à ce certificat, en revanche j'ai l'impression que c'est plutot côté appareil que ça se passe. J'ai bien téléchargé puis installé le certificat et le certifiact intermédiaire en .pem sur mon iPhone mais impossible d'insaller la clef privée : le problème persiste. Du coup, plusieurs questions : Comment installer la clef privée sur l'Iphone ? Quel est le risque à ne pas installer ce certificat sur mon Iphone ? Que se passera t il lors du renouvellement ? Merci d'avance,
  13. Bonjour à tous, J'ai suivi ce tuto avec succès, merci encore @oracle7 pour ça. Aujourd'hui je regarde les fonctions de cloud du NAS et en installant un client voici le message que j'obtiens. Est-ce lié à cette méthode de certification ou s'agit il d'autre chose, je ne maitrise pas. Cordialement,
  14. Merci pour votre retour, je vais m'en inspirer.
  15. @Juan luis et @oracle7, Merci pour vos conseils que je vais vais probablement suivre. Je n'ai pas la freebox mais j'ai un routeur MR22ac de Synology qui possède le paquet Download Station, probablement plus judicieux de l'utiliser ici avec un disque dur externe donc ? Pour comprendre, car je ne maitrise pas ces sujets, admettons que je fasse un téléchargement d'un fichier virolé avec mon routeur ou un périphérique de mon réseau (un PC par exemple) plutôt que mon NAS, puisque le fichier va se retrouver sur le même réseau n'y a t il pas un risque que le virus / randsomware se propage sur tous les périphériques de mon réseau ? En gros cela fait il une différence du point de vue sécurité de télécharger depuis mon PC, mon routeur ou mon NAS ? Enfin, quelle est la meilleur protection contre ce type d'attaque ? Une synchronisation du NAS avec un second NAS distant ? Si oui, ne vais je pas tous simplement dupppliquer les fichiers virolés et don le problème sur le secoind NAS ? Merci d'avance,