Https Barr

[red71]

Manoeuvre simple, j'ai activé l'accès https sur le port 5001.

Pourtant quand j'y accède, mon navigateur me demande d'ajouter une exception (ok, c'est fait ;-)), mais, in fine, le https est en rouge et barré comme si, finalement, ce n'était pas "sécurisé".

Ai-je manqué quelque chose ?

[loicb]

Certificat non vérifié?

[bud77]

Oui, c'est juste un certificat non signé, mais tes données transitent bien cryptées

[red71]

OK, merci pour l'information.

Autre question, tant qu'on y est.

A quel point faut-il "stresser" pour les ports ouverts vers mon Syno.

J'ai ouvert sur mon routeur:

*- 5000 et 5001 : accès http.

*- 6690 : Cloudstation.

*- 873 : backup vers Syno de mon frère situé chez lui.

*- 9005 / 9006 : WebDav

*- 2000 : Photostation

Dois-je voir ces ouvertures de port comme des portes graaaandes ouvertes sur mon réseau local et "stresser" quand même un peu ou pas ?

Ca semble si naturel d'ouvrir ces ports et pour certains de mes amis, c'est quasiment le grand sacrilège d'oser ouvrir des ports comme si je laissais ma maison porte d'entrée grande ouverte avec un mot de bienvenue aux voleurs ;-)

Merci de m'aider à faire le point.

[PiwiLAbruti]

De manière générale évite le HTTP non crypté (préfère HTTPS), et utilise des mots de passe forts.

Donc je te conseillerais de supprimer le port tcp/5000 et tcp/9005.

Par contre tu peux ouvrir le port tcp/443 pour Photo Station (au lieu du tcp/2000 non crypté).

[red71]

Voilà qui est fait, merci pour les infos. "Tout le monde" gère les accès https ? Y compris tablettes/smartphones ?

J'utilise souvent les applis sous Android pour regarder les Photos de l'extérieur (ce qui épate d'ailleurs pas mal de monde qui ne sait pas bien ce qu'un NAS peut faire) ou même accéder à Download Station.

[CMDC]

Oui, c'est juste un certificat non signé, mais tes données transitent bien cryptées

Le nec plus ultra étant d'obtenir un certificat serveur personnalisé auprès d'un organisme certificateur .... et si possible gratuitement ... je crois que CAcert.org le permet .

Attention je crois que ce n'est valable que si tu es propriétaire du domaine... tu ne peux donc pas demander un certificat si tu as par exemple comme nom de serveur https://mon-syno-quej'M.no-ip.org:5001

[PiwiLAbruti]

"Tout le monde" gère les accès https ? Y compris tablettes/smartphones ?

Evidemment ! Sinon ça n'aurait aucun intérêt.

[red71]

Ok, je m'occuperai de tester ça aujourd'hui ou demain. Encore merci pour les infos.

[red71]

Autre question : est-ce que ça a du sens de changer les ports par défaut ?

Si je devais essayer de "rentrer" dans le Syno de quelqu'un c'est sur les port par défaut que je "m'exciterais" en premier...

[PiwiLAbruti]

Autre question : est-ce que ça a du sens de changer les ports par défaut ?

Si je devais essayer de "rentrer" dans le Syno de quelqu'un c'est sur les port par défaut que je "m'exciterais" en premier...

Le risque zéro n'existe pas, surtout en ce qui concerne la sécurité informatique. La modification du port dépend de la sensibilité du service qui se trouve derrière.

Par exemple, SSH est une cible privilégiée des robots. Changer de port évite en partie que ce service soit détecté facilement. Personnellement je fais fonctionner SSH sur le port par défaut (tcp/22) sur mon NAS et j'ai entre 3 et 5 tentatives de connexions par jour (blocage auto activé).

Maintenant, les robots sont tout à fait capable d'identifier le service qui se trouve derrière un port donné, donc j'estime que changer un port n'apporte aucune sécurité.

[red71]

OK.

Je ne me sers pas de SSH donc de côté là, c'est "fermé" ;-)

[Petit_bill]

Sinon tu utilise la fonctionnalité reverse proxy du syno et tu n'a qu'un port a ouvrir ( peut etre 2 )

Bonne journée

[red71]

Sinon tu utilise la fonctionnalité reverse proxy du syno et tu n'a qu'un port a ouvrir ( peut etre 2 )

Bonne journée

C'est le truc où le Syno dit qu'il va configurer lui même ton routeur ?

Je suis un peu old school, donc (peut être à tort), je fuis ce genre de truc surtout quand on me dit qu'on va me le faire à ma place...

Modifié le 1 août 2013 par red71

[Petit_bill]

C'est le truc où le Syno dit qu'il va configurer lui même ton routeur ?

Je suis un peu old school, donc (peut être à tort), je fuis ce genre de truc surtout quand on me dit qu'on va me le faire à ma place...

Non non rien voir ...lol

mais tu peut utilisé les 2 ( moi c'est ce que je fait )

lorsque que mon NAS s'allume il envoi un ordre d'ouverture de port ( 443 ) a mon routeur

Des qu'il s'eteint il ferme le port.....

[red71]

Je laisse mon NAS allumé 24/7.

Par principe, surtout. Et aussi parce que j'ai des panneaux solaires qui couvrent ma consommation annuelle donc je ne paye plus l'électricité.

[Petit_bill]

Je laisse mon NAS allumé 24/7.

Par principe, surtout. Et aussi parce que j'ai des panneaux solaires qui couvrent ma consommation annuelle donc je ne paye plus l'électricité.

ok mais l'histoire du reverse proxy reste viable ....lol

[CMDC]

Le risque zéro n'existe pas, surtout en ce qui concerne la sécurité informatique. La modification du port dépend de la sensibilité du service qui se trouve derrière.

Par exemple, SSH est une cible privilégiée des robots. Changer de port évite en partie que ce service soit détecté facilement. Personnellement je fais fonctionner SSH sur le port par défaut (tcp/22) sur mon NAS et j'ai entre 3 et 5 tentatives de connexions par jour (blocage auto activé).

Maintenant, les robots sont tout à fait capable d'identifier le service qui se trouve derrière un port donné, donc j'estime que changer un port n'apporte aucune sécurité.

Effectivement, pareil pour moi; par contre une petite astuce permet de s'affranchir de ces robots :

- Au niveau du routeur tu rediriges le port 2222 (par exemple) sur le port 22 en interne, du coup, il y a peu de chance pour que les robots viennent scanner ton port 2222 et ensuite, seuls ceux qui on besoin de se connecter chez toi vont utiliser ce fameux port 2222

Depuis que j'ai fait ça, je n'ai plus aucune tentative d'intrusion !

[mickey_mouss]

Le nec plus ultra étant d'obtenir un certificat serveur personnalisé auprès d'un organisme certificateur .... et si possible gratuitement ... je crois que CAcert.org le permet .

Attention je crois que ce n'est valable que si tu es propriétaire du domaine... tu ne peux donc pas demander un certificat si tu as par exemple comme nom de serveur https://mon-syno-quej'M.no-ip.org:5001

CAcert n'est pas une autorité préchargée dans les navigateurs web parce qu'elle n'est pas reconnue comme tiers de confiance " publique ". En effet, il s'agit d'une autorité de confiance communautaire.

Pour que cela fonctionne, il faut charger leur certificat publique racine dans les autorités de confiance.

Du coup, pour un usage privé, autant se générer un certificat auto-signé et charger son propre certificat publique racine dans son navigateur et le fournir à sa famille et à ses amis pour qu'ils en fassent de même.

L'intérêt de solliciter un tiers de confiance est que la responsabilité de garantir l'identité du possesseur lui est confiée.

Donc oui, CACert vérifie la propriété du domaine, c'est bien le minimum. Sinon, en quoi pourraient-ils être tiers de confiance ?

[CMDC]

CAcert n'est pas une autorité préchargée dans les navigateurs web parce qu'elle n'est pas reconnue comme tiers de confiance " publique ". En effet, il s'agit d'une autorité de confiance communautaire.

Pour que cela fonctionne, il faut charger leur certificat publique racine dans les autorités de confiance.

Effectivement, tu as un peu raison ... dans le monde windows ... par contre beaucoup de distributions Linux intègrent nativement les certificats de CAcert:

http://wiki.cacert.org/InclusionStatus

Ce qui fait que je n'avais pas vu le problème

Néanmoins, comme tu le dis, dans le monde windows il suffit de télécharger ici ce petit package pour reconnaître CACert comme une autorité de confiance et de retrouver le vert sur https dans ta barre de navigation

Attention c'est une solution gratuite hein? Donc forcément il y a quelques inconvénients !

En tout cas, si vous utilisez des packages Synology comme osCommerce(par exemple) sur votre NAS, cela peut rassurer vos éventuels clients!

[mickey_mouss]

Effectivement, tu as un peu raison ... dans le monde windows ... par contre beaucoup de distributions Linux intègrent nativement les certificats de CAcert:

http://wiki.cacert.org/InclusionStatus

Ce qui fait que je n'avais pas vu le problème

Néanmoins, comme tu le dis, dans le monde windows il suffit de télécharger ici ce petit package pour reconnaître CACert comme une autorité de confiance et de retrouver le vert sur https dans ta barre de navigation

Attention c'est une solution gratuite hein? Donc forcément il y a quelques inconvénients !

En tout cas, si vous utilisez des packages Synology comme osCommerce(par exemple) sur votre NAS, cela peut rassurer vos éventuels clients!

Je suis d'accord avec toi, ma réponse n'est pas vrai dans tout les cas mais elle l'est pour :

- les os microsoft (Pc et appareils mobiles) / y compris ceux sur lesquels sont installés : Firefox, chrome (sauf erreur de ma part), Opéra (toujours sauf erreur de ma part)... ;

- les appareils sous android ;

- les mac (ce qui est mon cas) et autres appareils de la marques à la pomme.

Cet ensemble doit représenter au minimum 98 % des appareils connectés au web et au moins 90% des propriétaires (et là, je suis même persuadé que c'est plus que ça encore).

Donc, si tu veux, j'ai un peu raison... Moi je considère que mon erreur reste encore de l'ordre de l'exception (et c'est sans jugement de valeur sur linux, loin de là).

En dehors de quelques net-book sur lesquels se trouvent nativement linux, qui installe cet OS en dehors de personnes initiées (je ne compte pas les NAS et autres appareils pour lesquels, là encore, beaucoup d'utilisateur sont indifférent à mon avis de savoir qu'il y a un linux dessus, voir ne le savent même pas).

Mon avis, qui n'engage que moi bien sûr, est qu'un professionnel qui ne veut rassurer ses clients ne choisira pas CA-Cert mais un autre organisme tel que Thawte ou Verisign... de même qu'il prendra un nom de domaine et non pas un dns dynamique.