Certificat De S

[enzo94]

Bonjour,

Je suis en train de mettre en place le serveur FTP sur mon DS413 (dont je suis très content par ailleurs). J’en suis au stade des certificats de sécurité et là je bloque, j’ai beau parcourir le net je ne trouve pas les réponses à mes questions.

Donc voici mes questions :

• C’est quoi un certificat de sécurité ? Grosso modo j’ai compris que c’est un fichier sur le serveur qui permet au client d’être sûr que c’est le bon serveur avec lequel il dialogue. J’ai cru comprendre qu’il existait aussi des certificats de sécurité pour le client afin que le serveur soit sûr que c’est le bon client. J’ai tout faux ou j’ai compris de travers ?
• Pour un serveur FTP, quelles sont les bonnes pratiques ? Certificat de sécurité sur le client et le serveur ou seulement sur le serveur ?
• Comment construire un certificat de sécurité ? Si j’ai bien compris il faut passer par un Tiers pour le faire. Quel Tiers choisir pour un certificat de sécurité SSH ?
• Comment importer le certificat de sécurité sur le serveur ? Je n’ai pas vu de bouton dans l’application FTP du Synology pour le faire

J’ai choisi comme protocole sécurisé SFTP, je n'arrive pas à faire fonctionner le FTPS avec Filezilla, j'ai vu qu'il y avait un problème avec la DSM 4.2, j'ai mis à jour avec la dernière de cette DSM mais ça n'y fait rien.

Pour compléter comme je compte exposer ce serveur FTP sur internet, voici les étapes que j’ai réalisées :

• Désactivation du compte « admin » qui existe nativement dans le NAS et création d’un autre compte administrateur.
• Fermeture de tous les ports via le firewall sauf ceux des services que j’utilise. J’ai également restreint l’accès aux interfaces d’administration du NAS à quelques adresses ip (qui correspondent à 2 PCs). Pour se faire je me suis appuyé sur ce tutoriel :
• Activation du blocage automatique d’IP : au bout de 5 tentatives en 5 minutes et pas de restauration automatique en cas d’ip bloqué
• J’ai créé une adresse internet correspondant à mon adresse ip publique. J’ai utilisé le service DDNS proposé par Synology. Mon adresse est du type www.xxxxx.dsmynas.com
• J’ai forcé la syntaxe du mot de passe de manière à ce qu’il contienne minimum 6 caractères et il doit au moins y avoir une lettre, un chiffre et un caractère spécial via le service « Password Strength » du Synology. J’ai aussi imposé aux utilisateurs qu’il y ait au moins une minuscule et une majuscule dans leur mot de passe.
• Au niveau du routeur (Freebox V5), j’ai fait une redirection de port vers l’adresse ip local du NAS sur le port 22. Je n’utilise pas le port 22 pour appeler le service FTP de l’extérieur mais un autre port, j’ai veillé à utiliser un port libre.

Si vous avez des conseils supplémentaires pour renforcer la sécurité, je suis preneur. C’est aussi dans l’optique de la sécurité que je veux mettre en place des certificats de sécurité. J’ai également conscience que une sécurité à 100% ça n’existe pas (tout ce qui est fait par l’homme peut être défait par l’homme) et que la meilleure sécurité du monde reste soi-même.

Merci d’avance à ceux qui répondront

[stevenfoxhound]

"J’ai choisi comme protocole sécurisé SFTP, je n'arrive pas à faire fonctionner le FTPS avec Filezilla, j'ai vu qu'il y avait un problème avec la DSM 4.2, j'ai mis à jour avec la dernière de cette DSM mais ça n'y fait rien."

Pour le SFTP, je te conseille de ne pas utiliser le port 22 et d'en changer (utiliser un autre port xxxx), d'autoriser dans le pare feu du NAS une règle pour ce port (port de destination, TCP, xxxx), mais aussi de créer une règle sur ta box pour ce port. (Ne pas utiliser la transmission de port du Syno)

Dans Fillezilla, tu configueras ton port xxxx pour le le FSTP