S

[babble]

Bonjour à tous.

Je sais que beaucoup de topics traitent de ce sujet, mais étant un tout petit amateur très débutant en réseaux, j'avoue que je m'y perds un peu.

Je connais le principe de base général, mais dès que le vocabulaire n'est plus constitué que d'acronymes, je décroche un peu. Après quelques nuits blanches à configurer, voici où j'en suis rendu.

Je vous expose mon besoin, mon utilisation, et ma configuration actuelle.

Réseau local de micro-entreprise : 3 PC Windows 8, 1 Macbook Pro, un copieur multifonctions, un NAS + un disque dur externe USB pour la sauvegarde automatique toutes les nuits des dossiers de travail, une box internet (pas encore reçue la définitive Bouygues, tout est en test sur une SFRbox), tout ce petit monde relié par un switch semi-manageable NetGear en câbles ethernet CAT6.

Utilisation : toutes les données de travail sont centralisées sur le NAS, rien en local sur les postes. Le NAS doit être accessible depuis l'extérieur en cas de déplacement en clientèle, parfois le WE ou les soirs. Cette utilisation ne sera que très occasionnelle.

Aucune autre fonction avancée n'est prévue pour l'instant (serveur photo, vidéo, itunes, etc), c'est un environnement purement bureautique.

Je souhaite que les données soient sécurisées du mieux possible, sans pour autant passer par des solutions chères et difficiles à mettre en place par un novice.

J'ai lu ce post qui traite assez bien du sujet mais qui est un peu ancien.

Ce que j'ai fait actuellement et qui fonctionne : en m'inspirant également de http://www.synology.fr/support/tutorials_show.php?lang=fre&q_id=478

Antivirus sur le syno, scan complet du système toutes les nuits avec mise à jour des définitions de virus.

Antivirus sur les postes du réseau.

Mots de passe 6 caractères avec majuscules minuscules chiffres et caractères spéciaux pour tous les comptes.

Désactivation des comptes dénommés "admin" et "guest"

Firewall du syno activé ne laissant ouvert que les applications webdav (port 5006 uniquement) et DSM (port 5001 uniquement). EDIT : j'ai été obligé d'ouvrir également le port du serveur DHCP ainsi que les services de partage de fichiers windows et Mac, sinon le Syno n'est accessible sur le réseau local que par DSM (interface web) et pas par des lecteurs réseau mappés intégré dans les explorateurs/finders. J'ai ouvert également le port pour l'assistant Syno, pratique pour vérifier que tout fonctionne en local au moment de l'installation. Il peut être refermé par la suite et désinstaller l'assistant depuis windows. Rappel : liste des ports utilisables ici : http://www.synology.fr/support/faq_show.php?q_id=299&lang=fre

Routeur de la box n'ouvrant et redirigeant vers le syno que les ports 5001 et 5006, tout le reste est fermé (, etc)

Activation du blocage auto des IP (5 tentatives en 5 minutes, libération au bout d'1 jour)

C'est tout.

Donc pour le moment, tout fonctionne impeccable en local, via l'interface web DSM, ou plutôt, comme ce sera le cas dans l'activité quotidienne : en mappant les lecteurs réseau dans l'explorateur Windows et le Finder Mac.

En accès distant, j'entre sur le NAS en web DSM via l'adresse https://monIPréelle:5001/. L'adresse http://monIPréelle:5000/ ne fonctionne pas (logique). Je peux entrer également via l'appli iPhone DS File en cochant https, et donc je suis connecté sur le port 5006.

Ma, ou plutôt mes questions sont :

1- Pensez-vous qu'il faille encore augmenter le niveau de sécurité ? Si oui, par les points suivants ? Ou autres ?

2- Faut-il mettre en place un VPN (j'ai vaguement regardé, ça me semble assez imbuvable) ? Mais si c'est ce qu'il faut faire, je trouverai bien le moyen de le faire, sans doute avec votre aide !

3- Les connexions https 5001 augmentent-elles le niveau de sécurité par rapport à http 5000 ? Sachant que je n'ai aucun dossier crypté, ou clé de cryptage paramétrée où que ce soit, et que je n'ai pas de certificat (SSL je crois? ce qui me renvoie un avertissement de défaut de sécurité comme quoi le site n'est peut-être pas sûr dans mon navigateur depuis l'extérieur, mais c'est pas grave, je clique sur continuer quand même et j'arrive sur la page d'authentification). EDIT : apparemment oui, même après ce genre d'avertissement, les données restent cryptées. Source : http://www.synology.fr/support/tutorials_show.php?lang=fre&q_id=464 (merci Alex)

4- Changer le port d'accès au syno, par exemple au hasard 4356, rerouté vers le 5001 du syno, permettant d'entrer depuis l'extérieur via une adresse de ce type : https://monIPréelle:4356/. (évite les attaques via des ports connus). EDIT : effectué, ça fonctionne bien et ça bloque un port connu (5001) contre les attaques.

5- Autre ? Système de cryptage de fichiers sur le syno avec clé de décryptage sur les postes? (aucune idée de comment mettre ça en place)

Merci de m'avoir lu, et à vot'bon coeur m'sieurs dames

Yann

Modifié le 9 janvier 2013 par babble

[Patrick21]

Bonjour

en lisant rapidement

la seule faille de sécurité que je vois dans l’immédiat et à résoudre dans les meilleurs délais a mon sens c'est la sauvegarde en local

il faut la remplacer par soit un retrait du dd usb apres la sauvegarde et le sortir du local ou mieux faire une sauvegarde réseau sur un autre nas déporté

car en cas de sinistre, vol, incendie, inondation tu perds tout

Patrick

[Sp@r0]

3) oui le port 5001 en ssl apporte les fonctionnalités suivantes :

- envoi du nom d'utilisateur et du mot de passe en crypté, sur le port 5000 qq de mal intentionné qui réussit à capturer les paquet lors de la connection (en étant sur le même wifi par exemple) peut ce connecter sans mal à ton DSM

- cryptage des communiçations entre toi et le nas, toujours même problème quand tu est sur un hotspot qq peux voir tt ce que tu transfert comme fichiers (ce n'est pas si simple que cela à réaliser mais c possible sans ssl)

Le message d'erreur de ton navigateur c'est que le certificat ssl n'est pas valider par une autorité de confiance (la confiance étant qq chose de très relatif et au libre arbitre de chaque browser internet ....)

2) le VPN n'apporte rien par rapport au ssl sauf pour te connecter soit a d'autres équipement derrière le nas de manière sécuriser soit. Accéder de manière sécuriser à des service ne supportant pas le ssl

4) changer le port part défaut est également une bonne protection contre les attaques de bots

5) la sécurité des données t une choses leurs sauvegarde en est une autre .... Patrick21 a répond une sauvegarde externalisée serait un gros plus

Dernière remarque 6 caractères je trouve cela un peu court perso je préconise au moins 8 avec au moins une majuscules, un chiffre et un caractère spécial. Perso je suis un fan du "leet speak" pour mes mots de passes (représenter des lettres avec des caractères autres genre )

Leet speak = l33t sp3@|< = £337 5|*34|<

[babble]

Merci à vous pour vos réponses.

Concernant la sauvegarde, je n'ai pas dit que ce serait la seule... Le HDD USB qui restera à demeure derrière le NAS permet de palier à un crash des disques ou un NAS qui grille et qui grille les disques. Une deuxième sauvegarde aura lieu dans un autre endroit, je ne sais pas encore comment, mais j'y réfléchis. Peut-être sur le MacBook qui quittera les locaux tous les soirs, peut-être sur un serveur distant, à voir mais ce sera sans doute l'objet d'une autre question. En tout cas c'était prévu, merci de l'avoir souligné.

Merci Sparo pour ta réponse point par point, et les explications claires du point 3 notamment.

Tant mieux pour le point 2, ça m'arrange.

Le point 4 je viens de le tester, j'ai rerouté un port non utilisé par syno et pris au hasard vers le port 5001, et ça fonctionne (et du coup ça bloque sur le 5001 depuis l'extérieur, ce qui est le but recherché)

Point 5 la sauvegarde, j'ai déjà répondu en début de réponse

Je te rejoins sur le 1337 : c'est comme ça que je fais mes mots de passe au boulot où la sécurité est renforcée de ce côté là

D'ailleurs j'aime bien le clin d'oeil au l33t par Free qui systématiquement photographie ses Freeboxes depuis le début avec l'heure 13:37 affichée

Merci encore et si quelqu'un veut ajouter des choses, avec plaisir.

(petit HS perso : je viens d'activer le serveur multimédia et ça marche parfaitement bien sur ma PS3 en créant une nouvelle règle dans le firewall syno, sans affecter la sécurité depuis l'extérieur, puisque seul le port 5006 et mon port perso redirigé vers 5001 sont ouverts.)

Il commence à bien me plaire ce petit produit !

Modifié le 8 janvier 2013 par babble

[domlas]

Moi aussi je changerais les ports pré établis. Les "néfastes" les connaissent eux aussi, on en parle suffisamment rien qu'ici.

Pour les sauvegardes la règle de 3 = autres disques, autres systèmes, autres lieux.

Et surtout avoir de l'intuition ou plutôt un soupçon de finesse et se poser les vraies bonnes questions. Un simple changement de port est souvent bien plus malin que de déployer des solutions complexes couteuses et pas toujours très efficaces.

En fait il y a surtout deux formes de truands à éviter. Les robots qui cherchent des serveurs pour s'en servir de points de relais pour leurs mauvaises actions. Ca ne touche pas aux données et on finit par s'en apercevoir "par hasard" suite à des ralentissements, ou saturation de la bande passante. A ce sujet il existe dans le syno une protection toute bête mais bien efficace. Mettre en service le système qui enregistre l'IP d'un demandeur d'accès qui plante faute d'avoir les bons codes. Et qui recommence inlassablement. Ce service va compter les demandes d'action sur une certaine durée. Au bout de x tentatives en moins de T minutes l'IP du robot chercheur est déclarée interdite. Le tour est joué.

La deuxième danger est le "voleur de données". Là faut-il encore que tu ais des données qui l'intéressent ! Comme les derniers jeux à la mode, les films ciné etc. Et que surtout tu te fasses trop connaître de ce petit monde très particulier. Mais si tu ne télécharges pas sur la mule et autres sites de P2P tu ne risques quasiment rien.

En plus de 8 ans de trafic important entre moi, ma fille et deux autres copains pour des documents de "travail" (magazine imprimé) on n'a jamais attiré ces petits malotrus (le mot "travail" doit y être pour quelque chose) et je n'ai jamais eu à constater d'attaques de quelque nature que ce soit. Quelques mots de passe bien gérés sont suffisants.

Surtout il ne faut pas se laisser tomber dans le sport national actuel : le "sécurisationnisme aigu !

[babble]

Merci pour ton post domlas.

J'avais effectivement déjà bloqué les IP qui font plus de 5 tentatives infructueuses en moins de 5 minutes. Je libérais les IP automatiquement au bout de 1 jour, mais en fait je vais les laisser bloquées. Si les utilisateurs ont des problèmes pour se connecter, l'admin leur rétablira un accès, et ça permet de verrouiller encore plus les attaques de robots.

Concernant les sauvegardes, c'est effectivement hors sujet comme je le disais précédemment, mais merci de rappeler cette règle d'or (qui sera évidemment respectée)

Merci également de nous avoir fait part de ton retour d'expérience sur les 8 ans passés

[aurelized]

N oublie pas de changer le port ftp (25)

[babble]

Le port FTP est fermé, c'est un service que je n'utilise pas pour le moment. Depuis le routeur donc vus de l'extérieur (internet), seuls les ports 5001 (redirigé depuis un port extérieur non habituel) et 5006 (accès DS File depuis iPhone en https) sont ouverts. Les autres ports sont ouverts depuis le firewall syno pour communiquer avec le réseau local uniquement.

[aurelized]

avec haproxy tu peux utiliser une addresse en webdav.tonsite.com:5001(ou equivalent) qui te permet de n avoir qu un seul port d ouvert

la meme chose est d ailleurs possible pour le ftp je crois