Nas Synology : R

[HZER]

Bonjour,

Je projette de m'acheter un NAS synology DS213 afin de :

- synchroniser mon mac via timemachine dans un dossier dédié (et fournir un service similaire à mes proches)

- brancher mon imprimante et mon scanner sur le NAS pour y accéder à distance depuis mon ordinateur (en wifi)

- sauvegarder ma musique et mes films (hors ordi) et utiliser le NAS comme serveur multimédia (vers ordinateurs et rétroprojecteur). J'aurais également aimé permettre à ma famille (n'habitant pas la même région) d'accéder à distance à mes films, mais je ne souhaite pas connecter mon NAS à Internet pour plus de sécurité, l'objectif initial étant de permettre une sauvegarde de mes fichiers essentiels.

Mes questions sont donc les suivantes :

(Q1) est-il possible de concevoir un réseau local (connexion éthernet et wifi) autour de mon NAS, sans interconnexion avec Internet ? Je pensais par exemple utiliser un routeur wifi (tel que Netgear) pour la distribution des IP, sans que celui-ci soit connecté à ma box.

(Q2) si oui, la connexion wifi de mon mac peut-elle gérer deux connexions simultanées sur deux réseaux différents ? (pour la connexion avec mon imprimante. J'utiliserai le reste du temps une connexion éthernet dès que les besoins en débit seront importants).

Si l'option d'un réseau local non relié à Internet n'est pas possible, j'envisagerai alors d'un côté un NAS pour les données critiques (fonction disque dur externe de sauvegarde) et un disque dur multimédia connecté à Internet séparé ou d'une freebox avec disque dur externe branché. Cette option me permettrait également de partager mes films avec ma famille via Internet.

(Q3) Des deux options (solution unique du NAS en réseau local non connecté à Internet ou NAS de sauvegarde non connecté à Internet + disque dur multimédia connecté) quelle solution me conseillez-vous ?

Merci d'avance pour vos conseils.

HF

[Sp@r0]

Q1 - Le fonction par défaut du NAS c'est réseau local seulement il faut activer la fonction dans le NAS et dans ta box internet (ce que bien des utilisateurs on énormément de mal à faire car cela nécessite un minimum de connaissance en réseau (adresse IP, port, protocole, ....)) pour rendre le NAS visible d'internet, le NAS au même titre que n'importe quel équipement de ton réseau et totalement injoignable depuis le net tant que tu n'as pas expressément configurer la box internet pour cela.

Sinon pour répondre à la question initiale les synology non nullement besoin d'internet pour fonctionné (bien que l'activation de certain fonctionnalités sans avoir internet est relativement peux pratique, mais parfaitement possible)

Q2 - NON pas possible

Q3 - Connecte ton NAS à ta box ce sera largement plus souple et simple a exploité de tt facon tant que tu n'active pas l'accés à distance dans ta box internet point de soucis de sécurité possible, et même une fois activé l'acces à distance qq régle simple te protège de tt problème :

- des mots de passes forts : au moins 8 caractères contentant au moins 1 chiffres / 1 majuscules / 1 caractéres spécial () _ ? @ ....)

- l'activation du bannissement automatique en cas de tentatiive d'intrusion dans le nas.

Les synology peuvent partager les imprinamtes mais pas les scanner aujourd'hui le plus simple c'est de prendre une imprimante/scanner directement wifi ou ethernet

[HZER]

Merci beaucoup. Cela répond à mes questions. Je connecterai donc mon NAS à ma box et ne configurerai pas la connexion distante. Je pense que j'ajouterai éventuellement un parefeu supplémentaire entre mon NAS et ma Box histoire de doubler l'interdiction de connexion entrantes en plus du bannissement automatique en cas d'intrusion.

Merci encore.

[Sp@r0]

Activer le pare feu sur le nas n'a strictement aucune utilité dans ton cas (si une te poser des soucis de configurations) si tu es parano (comme moi) c'est mot de passe fort, pas de compte sans mot de passe et activer le bannissement automatique

[HZER]

Merci. Une autre question me vient à l'esprit. Comme l'une de mes idées (contradictoire) était également de pouvoir partager mes fichiers à distance avec ma famille, est-il possible d'activer la connexion distante du NAS mais de ne rendre accessible qu'une partie de celui-ci (le reste étant protégé par un pare-feu interdisant tout échange depuis et vers le NAS sur ce registre : je pense aux fichiers sensibles).

Ou devrai-je monter un autre NAS connecté à Internet en parallèle ?

Merci encore pour tes réponses.

Modifié le 6 juillet 2013 par HZER

[oli.oli]

Hello,

Juste quelques petites précisions sur ta demande initiale.

Un NAS n'est pas un serveur multimédia (pas encore en tout cas, mais ça commence à dériver...), donc tu ne peux pas y brancher un rétroprojecteur ou une TV en direct si ces équipements ne sont pas équipés de connexion réseau et de décodeur de flux.

Ensuite, je comprends ton inquiétude sur la sécurité, mais rien de sera parfaitement sécurisé tant que tu auras un équipement commun entre le réseau de ton NAS et ton réseau ayant accès à Internet.

Dans ton cas, la cible sera d'attaquer ton Mac, une fois celui-ci piraté, il sera possible d'accéder à tous tes réseaux et donc à ton NAS.

Si tu es capable de bien sécuriser ton Mac, tu seras capable de bien sécuriser ton NAS. Sinon, tu auras toujours le Forum pour t'aider.

Si ton Mac n'est pas sécurisé, j'aurai tendance à te dire de ne pas te prendre la tête pour ton NAS car la meilleure protection du NAS sera inefficace si ton Mac est une passoire.

Je rejoins donc Sp@r0 sur le fait que multiplier les parefeux et complexifier ton archi ne t'apportera que des problèmes tant que tu n'appliquera pas une politique de mots de passes complexes, des bannissements d'adresses IP ET que tu sécuriseras tous tes équipements réseaux (en particulier un mot de passe balèze et digne de ce nom sur la box internet, parce que les admin/admin en login /pwd, ce n'est pas qu'une légende...).

Bref, ce n'est pas la complexification de l'architecture réseau qui sera la plus sécurisante mais plutôt une politique globale sur tous les équipements...

EDIT :

Par rapport à ton dernier message, la gestion des fichiers ne se fait pas avec un parefeu, mais avec les droits des utilisateurs et des groupes et une gestion fine des permissions.

Tu vas pouvoir faire différents niveaux de sécurisation des données sensibles en limitant le nombre de personnes autorisées sur certains dossiers.

Par exemple, le dossier "Public" des Synos est, comme son nom l'indique, destiné aux données publiques.

Ensuite, tu crées des utilisateurs et des groupes pour gérer les droits d'accès aux données.

Modifié le 8 juillet 2013 par oli.oli

[loicb]

Je rajouterai, en plus de ce qui a été dit

Si t'est parano:

1-ne redirige vers ton nas que les ports pour lesquels tu a besoin du service

2-ne redirige pas l'interface de gestion du nas (ports 5000,5001)

3-pour partager les films avec ta famille, crées un utilisateur pour chaque membre, avec un mdp assez fort qu'il ne peuvent pas changer

ne leur donne pas de droit administrateur, j'aurai meme tendance à leur mettre un simple droit en lecture, histoire que s'il se font pirater leur compte (session ouverte sur un poste public, vol de l'ordi avec mdp enregistré...) la personne ne puisse pas éffacer ou te mettre le bordel sur ton NAS

si ça ne pose de probleme à ta famille, j'aurai tendance à privilegier filestation au serveur FTP (qui est plus souvent attaqué chez moi)

[HZER]

Merci à tous pour vos conseils. Il ne me reste plus qu'à commander mon NAS et tester dans la pratique. Pas exclu que je revienne vers vous !