Configuration Ds215J En Local, Externe Et Param

[lucette_stunt]

Bonjour à vous tous et bienvenu à moi

Voila voila, je collectionne un peu les fichiers depuis de nombreuses années et comme je suis "très conservateur" je n'en ai jamais vraiment supprimé. Pour répondre à ma demande de mutualisation de ces fichiers entre mes différents appareils de stockage personnels, faciliter à leurs accès (notamment hors local) et sureté des données j'ai récemment investit dans un synology DS215J couplé à deux DD WesternDigital Green 3To (RAID1 miroir).
Je possède une livebox ZTE FTTH v2, 1DD externe WD, 2PC win7, 1smartphone android et éventuellement d'autres machines de connexions réseaux externes (MAC par exemple). J'ai également un compte Gmail avec gestion de l'agenda, des mails et des contacts. (Si y'a une syncro possible?)

A la réception du matériel voici les taches que j'ai effectué:
-installation du DSM 5.1
-Création du compte Utilisateur et désactivation de l'admin par défaut
-Préparation des disques avec l'utilitaire Syno (Est-ce suffisant? Pourquoi et que faire d'autre?)
-Création du groupe de disque en RAID1
-Création du Volume (taille totale de mes DDs soit 2.68To, est-ce réversible, quel est l'avantage de créer plusieurs volumes?)
-En rapport aux deux créations ci-dessus, je ne sais plus exactement pourquoi et ne sait pas si cela change quelque chose mais j'ai premièrement créé le groupe RAID et deuxièmement le volume de 2.68To. Ce qui semble aller hors de la logique de la présentation du gestionnaire des disques dans les DSM?
-Ajout du disque dans mon réseau sous windows et le mappage du lecteur sous le 'poste de travail' (avec utilitaire syno assistant et windows, c'était très simple, j'ai un peu oublié comment j'ai procédé exactement).
-Création d'une ip statique pour le serveurNAS sous la livebox (avec l'utilitaire de la box, puis mise à jour de l'ip sous DSM et dans le mappage du lecteur réseau) (Est-on vraiment libre de la création de l'ip fixe? 192.168.1.xxx ?)
-Commencement du stockage des fichiers sur le NAS
-J'en suis à peu prés la.

Et ce sont là que les "problèmes" commencent. J'aimerais accéder à mes données depuis une connexion internet externe cependant je voudrais protéger au "maximum" la confidentialité, en sorte qu'aucune entité puisse y acceder sauf moi et que tous les transits de données soit plus ou moins chiffrées/cryptées? (j’imagine qu'il y a plusieurs niveaux) J'aimerais également sécuriser au maximum l'accès au serveur, au réseau local, appareils connecté au réseau local depuis un tiers externe--->nuisible. Pare-feu? Antivirus? Verrouillage des ports?

Alors voilà, n'étant pas trop idiot(c'est relatif mais je l'espère) face à la prise en main d'un ordinateur, j’imagine être capable de réussir ces démarche mais elles abordent de nombreux sujets que je n'ai encore que très peu étudié notamment les réseaux même locaux, et ce qui touche au web : domaine, DNS, IP, HTTP/HTTPS etc..

Si j'ai bien compris il va me falloir un nom de domaine pour l'accès depuis l'extérieur. Il va aussi me falloir un domaine pour le cryptage HTTPS, j'ai cru lire ça quelque part?

Bref j'attends un peu vos conseils car je ne sais pas par ou commencer.

Ps : récapitulatif des questions :
- La préparation des disques avec l'utilitaire Syno; est-ce suffisant? Pourquoi et que faire d'autre?
- Quel est l'avantage de créer plusieurs volumes avec l'utilitaire de disque dsm? Est-ce réversible? Est-ce l'équivalent d'une partition sous windows?
- Y a t il une gravité quelconque d'avoir d'abord créé le groupe de disque, puis le volume?
- Est-on vraiment libre de la création de l'ip fixe du NAS? 192.168.1.xxx ?
- Le chiffrement et le cryptage de données sont ils la meme chose? Quelles solutions s'offre à moi, sachant qu'il en reste pour de la protection personnelle (+).
- Quels pourrait être les meilleurs services pour pallier à mon ip dynamique fournis par orange?
- Les meilleurs services pour création de domaine?
- Comment installer un ou des pare-feu sur le réseau sans pour autant trop impacter la fluidité (et mon porte-feuille^^ ), le ou lesquels?
- Un anti-virus sur le NAS? Oui, non? Lequel?
- Aies-je oublié quelque chose?
- Par ou dois-je commencer?

Question bonus : Y'a il une syncro possible entre Gmail/"Gcontact"/Gagenda ? (c'est pas vraiment l'urgence du moment m'enfin..)

Je crois que c'est tout...

En vous remerciant d'avance pour votre intérêt et vos réponses. (à des questions surement déjà x fois posées, je suis un peu perdu entre tous les tutos du net..)

Luc

Modifié le 7 mai 2015 par lucette_stunt

[domlas]

C'est déjà pas mal !

Je pense que tu est conscient que tu n'auras pas de réponse globale...

Avantage et inconvénient du RAID (1 dans ton cas) : avantage : en cas d'arrêt d'un des deux disques (plus pour maintenance que la très rare casse) le syno continue de fonctionner normalement et ceci pendant aussi la reconstruction du disque. C'est la seule fonction du RAID. Cela ne "protège" pas les données et ne doit JAMAIS être considéré comme un système de sauvegarde.

Question inconvénients, le premier est la perte de capacité de stockage. Un RAID1 ne donnera qu'un volume dont la taille sera égale à celle du plus petit des disques. Avec deux disques de 1To par exemple tu ne disposeras qu'un seul To de stockage. Le miroring se paye !

De plus le maintien en permanence de ce miroring impose beaucoup plus de travail au syno et aux disques. D'où une fatigue plus réelle. Le système RAID est un système logiciel et qui dit logiciel dit bugs. Et les bugs sont infiniment plus fréquents que les très rares casses de disques. Le pire ennemi du RAID est la coupure d ecourant sauvage. Certains y ont perdu toutes leurs données.

Maintenant le problème du "sécurisationnement" (j'adore ce terme qui représente bien la bêtise actuellement à la mode) avec les accès par Internet commence par des choses très simples et qui sont bizarrement les plus efficaces.

1er point : interdire tout accès par internet au DSM c'est à dire fermer les ports 5000 et 5001. Tu es l'administrateur et si tu connais ton boulot ton syno sera paramétré chez toi et tu devrais faire en sorte que se paramétrage soit inutile depuis ailleurs, sauf évidemment de très rares cas particuliers.

2ème point : éviter d'utiliser les ports prédéfinis comme le 7000 etc. S'en choisir des personnels.

Et puis surtout bien définir le minimum nécessaire de ce qui est absolument indispensable d'accéder depuis Internet.

Il faut bien comprendre qu'aucun truand ne regarde lui-même ton syno. Ton syno il en a rien à foutre. Surtout de tes données il s'en bat les c...lles de tes quelques photos ou documents. Alors chiffrer ça (https) n'a aucun intérêt. Tu ne le géneras pas il se fout de lire tes données. Toi par contre tu risques d'avoir des difficultés avec ce chiffrement et les clès plus ou moins sûres.

Ce qui intéresse les malfrats est d'accéder dans ton syno pour y loger des petites choses qui vont permettre de lancer des deni de service, des sites pirates, de la propagande inavouable enfin plein de chouettes choses.

Ton malfrat cherche tes ports d'accès (ensuite il cherche à casser les mots de passe). le chiffrement n'empêche rien à ce stade. Le bandit utilise des robots programmés pour balayer des plages d'IP et tester les ports 'habituels" et Dieu sait si il y en a sur un syno.

Alors remplacer les ports "habituels" par des à toi bien perso, c'est déjà un gros point. En ouvrir un minimum (limiter au strict nécessaire) pour les rares seuls services dont on a besoin.

Mettre des mots de passe. Ca parait idiot mais le nombre de pass comme 123456 ou azerty est phénoménal. Inutile de chercher un truc abracadabrantesque mais 8 ou 10 caractères avec des chiffres sont pas mal. Et un truc qui se mémorise bien. Parce que si c'est pour l'écrire sur un post it collé sur l'écran...

Il y a aussi dans le syno, et on oublie souvent, un petit service à activer qui va surveiller les IP qui demandent à entrer. Un robot se reconnectera tout de suite si il n'arrive pas à entrer (mauvais port ou mauvais passe). Ce petit service bloquera cette IP après 5 tentatives ratées en moins de 10mn. A mettre absolument en service ! ! !

Avec ces quelques simples précautions et avec pourtant un gros trafic externe sur mon syno je n'ai jamais eu de problème sérieux en 10 ans.

Dernier point et des plus importants : ne jamais aller sur les sites connus pour être douteux et adorés par un ramassis de tarés post-ados encore d'un niveau mental biberon. Pas de sites X, ni de rencontres, ni de jeux en lignes, et surtout pas de sites de téléchargements poliment appelés "illégaux".

Du bon sens c'est encore ce qui paye le mieux.

[lucette_stunt]

Et les bugs sont infiniment plus fréquents que les très rares casses de disques. Le pire ennemi du RAID est la coupure de courant sauvage. Certains y ont perdu toutes leurs données.

Je sais pour la place que "consomme" le RAID1; J'ai déjà un DD externe qui m'a lâché du jour au lendemain, j'ai pas trop envie de revivre l'expérience... Cependant tu dis que certains ont déjà perdu toutes leurs données à cause d'une coupure électrique! Ca me parait un peu poussé non? Je n'ai sur mes Pcs jamais eu de bug majeur à cause d'un arrêt brutal. Je ne comprends pas.

1er point : interdire tout accès par internet au DSM c'est à dire fermer les ports 5000 et 5001. Tu es l'administrateur et si tu connais ton boulot ton syno sera paramétré chez toi et tu devrais faire en sorte que se paramétrage soit inutile depuis ailleurs, sauf évidemment de très rares cas particuliers.

Ces ports sont à fermer depuis la box? Le DSM? Les deux?(Il semble après vérification que je ne trouve ce paramètre que sur DSM.) Si je les change, aies-je une plage de port à respecter? entre 5000 et 5500 par exemple?

Tu dis ensuite que cela condamne l'accès depuis internet, la connexion sera alors impossible depuis mon smartphone/un PC situé hors de mon réseau local?

2ème point : éviter d'utiliser les ports prédéfinis comme le 7000 etc. S'en choisir des personnels.

On parle toujours des mêmes ports? Même question.

Et puis surtout bien définir le minimum nécessaire de ce qui est absolument indispensable d'accéder depuis Internet.

L'appli musique pour le smartphone; le finder avec droit de lecture pour une connexion PC externe, et meme si possible un droit d'écriture depuis l'externe (pourquoi pas sur un volume différencié? peut importe mais cela me permettrait d'ajouter des fichiers un peu plus lourd sans passer par une pièce jointe en mail par exemple, ou un hébergeur. (En somme m'envoyer des fichiers, cela restera rare, depuis un PC extérieur)

Il faut bien comprendre qu'aucun truand ne regarde lui-même ton syno. Ton syno il en a rien à foutre. Surtout de tes données il s'en bat les c...lles de tes quelques photos ou documents. Alors chiffrer ça (https) n'a aucun intérêt. Tu ne le géneras pas il se fout de lire tes données. Toi par contre tu risques d'avoir des difficultés avec ce chiffrement et les clès plus ou moins sûres.

Ce n'est pas tant des truands que j'ai peur mais d'une éventuelle surveillance FAI, ou publique. Cela dit j'ai bien entendu parler des ransomeware et je compte bien m'en protéger un maximum aussi.

Alors remplacer les ports "habituels" par des à toi bien perso, c'est déjà un gros point. En ouvrir un minimum (limiter au strict nécessaire) pour les rares seuls services dont on a besoin.

Lesquels comdamner? Lesquels laisser ouverts? Conséquences? J'ai un peux de mal avec TOUS les ports de la box..

Tous les ports et connexions... :

Et les bugs sont infiniment plus fréquents que les très rares casses de disques. Le pire ennemi du RAID est la coupure de courant sauvage. Certains y ont perdu toutes leurs données.

Je sais pour la place que "consomme" le RAID1; J'ai déjà un DD externe qui m'a lâché du jour au lendemain, j'ai pas trop envie de revivre l'expérience... Cependant tu dis que certains ont déjà perdu toutes leurs données à cause d'une coupure électrique! Ca me parait un peu poussé non? Je n'ai sur mes Pcs jamais eu de bug majeur à cause d'un arrêt brutal. Je ne comprends pas.

1er point : interdire tout accès par internet au DSM c'est à dire fermer les ports 5000 et 5001. Tu es l'administrateur et si tu connais ton boulot ton syno sera paramétré chez toi et tu devrais faire en sorte que se paramétrage soit inutile depuis ailleurs, sauf évidemment de très rares cas particuliers.

Ces ports sont à fermer depuis la box? Le DSM? Les deux?(Il semble après vérification que je ne trouve ce paramètre que sur DSM.) Si je les change, aies-je une plage de port à respecter? entre 5000 et 5500 par exemple?

Tu dis ensuite que cela condamne l'accès depuis internet, la connexion sera alors impossible depuis mon smartphone/un PC situé hors de mon réseau local?

2ème point : éviter d'utiliser les ports prédéfinis comme le 7000 etc. S'en choisir des personnels.

On parle toujours des mêmes ports? Même question.

Et puis surtout bien définir le minimum nécessaire de ce qui est absolument indispensable d'accéder depuis Internet.

L'appli musique pour le smartphone; le finder avec droit de lecture pour une connexion PC externe, et meme si possible un droit d'écriture depuis l'externe (pourquoi pas sur un volume différencié? peut importe mais cela me permettrait d'ajouter des fichiers un peu plus lourd sans passer par une pièce jointe en mail par exemple, ou un hébergeur. (En somme m'envoyer des fichiers, cela restera rare, depuis un PC extérieur)

Il faut bien comprendre qu'aucun truand ne regarde lui-même ton syno. Ton syno il en a rien à foutre. Surtout de tes données il s'en bat les c...lles de tes quelques photos ou documents. Alors chiffrer ça (https) n'a aucun intérêt. Tu ne le géneras pas il se fout de lire tes données. Toi par contre tu risques d'avoir des difficultés avec ce chiffrement et les clès plus ou moins sûres.

Ce n'est pas tant des truands que j'ai peur mais d'une éventuelle surveillance FAI, ou publique. Cela dit j'ai bien entendu parler des ransomeware et je compte bien m'en protéger un maximum aussi.

Alors remplacer les ports "habituels" par des à toi bien perso, c'est déjà un gros point. En ouvrir un minimum (limiter au strict nécessaire) pour les rares seuls services dont on a besoin.

Lesquels comdamner? Lesquels laisser ouverts? Conséquences? J'ai un peux de mal avec TOUS les ports de la box..

Tous les ports et connexions... :

MDP et Blocage Ip OK

Sites douteux logiquement OK aussi

Modifié le 8 mai 2015 par lucette_stunt

[lucette_stunt]

Je n'arrive pas discerner ce dont j'ai réellement besoin pour établir ma connexion interne.

Un nom de domaine. Avec ou sans autre service que la reservation du nom?
Un service fixe de redirection d'ip Orange (statique)
Tous les services sont ils tous les memes:
no ip
dtns
DDNS
cet utilitaire les remplace t il tous?


On m'a parler d'un protocole en FTP pour établir ma connexion externe. Des avis?

Modifié le 8 mai 2015 par lucette_stunt

[domlas]

Je vois, je vois...

Commençons par le début et dans les grands principes de base :

Pour accéder à ton syno il faut d'abord accéder à ton installation, ton routeur.

Pour cela on utilise ton adresse dite "IP publique" qui ressemble à 201.25.45.213 par exemple. A noter que l'IP publique ne commence jamais par 192.168.xxx.xxx. Exactement comme ton Papy est joignable avec un numéro de téléphone comme 01.23.45.56.78. Ca c'est le vrai (et seul) moyen de t'atteindre depuis le net.

Cette demande va arriver sur ton routeur (dans ta box) et va buter sur l'ensemble des ports d'entrée (il y en a 65536) qui sont normalement fermés. Donc la demande n'entre pas. Dans la majorité des cas c'est préférable, c'est une sécurité. (Je fais simple)

Comme une adresse IP (201.25.45.231) n'est pas d'une élégance folle et est difficile à retenir on a inventé les "noms de domaine" comme "toto.com" ou arthur.fr. Un tel nom de domaine est payant mais sera unique (il ne peut y avoir qu'un seul toto.com au monde. Une fois que tu possède ce nom de domaine tu vas pouvoir décider de le rediriger (le faire "pointer") vers ton adresse IP publique.

Un peu comme un carnet d'adresse ou tu écris Papy et en face son numéro 01.23.45.56.78

Tout serait beau dans le meilleur des mondes si les FAI pour des raisons qui leurs sont propres ne s'amusaient pas à changer souvent ton IP publique, parfois toutes les 24h. Pour te joindre, c'est d'un pratique...

Une astuce a évidemment été trouvée : on utilise le système DDNS que j'appelle "nom de connexion" pour bien le différencier du "nom de domaine" du fait que beaucoup confondent les deux.

Ce DDNS aussi appelé improprement DynDns (du nom du premier service de ce type) consiste à installer dans ton installation un petit logiciel qui va surveiller le changement d'IP et le signaler au centre serveur DDNS. Par exemple dans la livebox play le logiciel dtdns;net est installé d'origine. Tu commences par aller sur le site de dtdns pour t'y inscrire par exemple sous l'identifiant "toto" et un mot de passe "123456". Tu obtiendras un "nom de connexion" (qui n'est pas un "nom de domaine") du genre toto.dtdns.net. Tu inscris ces données dans ta box dans le secteur DDNS (ou DynDNS). par la suite depuis Internet il suffit de taper "toto.dtdns.net" pour pointer vers la bonne IP publique du moment et arriver sur le routeur dans ta box.

Ce n'est pas fini.

Lorsqu'une demande arrive sur ta box il lui faudra avoir un "passe-droit" pour entrer. Cela concerne ton côté "administrateur.".

Exemple :

Tu mets en service le serveur FTP de ton syno. Dans ce serveur FTP tu autorises un client (et son passe) à accéder à certaines données.

Tu devras paramétrer ton routeur pour que toute demande d'accès via le port 21 (celui dédié au FTP) soit redirigé vers ton syno et son serveur FTP.. on appelle ça "ouvrir un port".

Résumons :

Pour qu'une personne depuis Internet arrive sur un de tes services il lui faut :

connaître ton "nom de connexion"

connaître le numéro de port du service qu'il veut atteindre

avoir les droits d'accès (identifiant et passe)

C'est simple, non ?

Ah j'oubliais un détail qui vaut son pesant de cacahouètes : Ton syno (et tous les autres appareils de ton réseau) sont reconnus entre eux par exactement le même système d'adresses IP dites "privées" elles aussi du genre xxx.xxx.xxx.xxx. Elles se reconnaissent parce que, elles n'utilisent que la plage 192.168.xxx.xxx.

Mais beaucoup ont beaucoup de mal à comprendre ça au début...