Sauvegarde: SSH ou OpenVPN pour site distant?

[Thom-]

Bonjour à tous,

Je souhaite mettre en place une sauvegarde sur site distant de mon NAS DS214se vers un DS115j pour me prémunir en cas d'incendie/vol. Il s'agit de modèles d'entrée de gamme pour les 2 NAS car il n'y a que du stockage de données privées pas hyper confidentielles (photos et vidéos, documents divers).

Je souhaite néanmoins un niveau de sécurité correct pour le transfert et l'accès aux NAS (les règles de bases de sécurité comme restriction IP, changement de ports par défaut, 3 tentatives etc sont évidemment prévues). J'ai analysé 3 options:

- SSH (sur port autre que 22) et cryptage du transfert.
Avantage: simple à mettre en place
Inconvénient: port SSH à ouvrir (et probablement aussi port 873 ?). Via le port SSH le login est toujours root, il ne reste que le mot de passe à trouver

- OpenVPN avec DS115j comme serveur et DS214se comme client.
Avantage: étape supplémentaire dans l'authentification (seul un client OpenVPN pourrait administrer le NAS), cryptage SSL inclus, port SSH fermé depuis Internet.
Inconvénient: un DS115j pourrait-il supporter d'être server VPN au vu de ses ressources limitées? Port OpenVPN ouvert

- OpenVPN avec un serveur privé (VPS ou Kimsufi par exemple) et DS115j + DS214se comme clients.
Avantage: n'ouvrir aucun accès direct depuis Internet pour le NAS (le NAS envoie la requête, la règle réflexive du firewall autorise la réponse), cryptage SSL inclus, DS115j client
Inconvénient: plus complexe à mettre en place et plus maintenance, coût plus élevé (location d'un serveur)

Quelle solution vous semble la plus raisonnable?
Utiliser un DS115j comme serveur OpenVPN pose-t-il problème pour les ressources/performances?
Avez-vous peut-être une meilleure option à proposer?

Merci pour vos réponse!

[gaetan.cambier]

Moi je ferai juste par ssh:

Vu que tu as le blocage prévu, en 3 tentative, on ne risque pas de trouver ton mot de passe si celui-ci est sérieux.

Tu peux bien sur ajouter un vpn, mais ça pourrait être + lent vu qu'il y aurait un double cryptage (j'ai pas les performance des n'as avec openvpn)

L'utilisation d'un serveur externe ne changera rien sauf le prix et la complexité

[Sp@r0]

Perso je ferais du ssh car ce n'est ni plus ni moins sûre qu'openvpn et que de toute façon tu feras du rsync dans un tunnel ssh pour faire la sauvegarde ce qui risque de pénaliser les perfs ...

Autorise seulement l'utilisateur de sauvegarde (dédier à cette table et avec un nom différent de sauvegarde disons BobLeponge a utiliser ssh avec un vrai mot de passe (12 caractères min, au moins un caractères spécial (/,?!@_&€), au moins un chiffre et une majuscule, évite les prénoms,nom,,date de personne que tu connais ) mieux encore tu peux génèrer une paire de clef 2048 bits c'est quasiment impossible à casser (avec des moyens conventionnel)

[gaetan.cambier]

il y a encore mieux que la paire de clé rsa 2048 bits :

les clés ecdsa (+ rapide au cryptage et + sûr)

[Thom-]

Merci à vous deux pour vos réponses.

Je vais alors rester sur SSH. Savez-vous si le port 873 TCP doit aussi être ouvert dans ce cas?

Pas de problème pour le nom d'utilisateur dédié à la sauvegarde ni au mot de passe. L'utilisateur n'a accès qu'au dossier de sauvegarde. De façon générale, je suis attentif aux bases de la sécurité informatique. :-)

Je regarde pour créer et utiliser clé RSA sur un Synology, je teste en Qual et valide ensuite sur la Prod. ;-) ;-) ;-)

[gaetan.cambier]

Je vais alors rester sur SSH. Savez-vous si le port 873 TCP doit aussi être ouvert dans ce cas?

non, tout passe par le tunnel ssh

 

Je regarde pour créer et utiliser clé RSA sur un Synology

pense pas qu'il y ait une interface graphique pour ca --> ssh-keygen en ligne de commande

d'ailleur, je sais meme pas si la sauvegarde via l'interface graphique va accepter de jouer avec des clé ssh, (en ligne de commande, c pas un problème) @Sp@r0 a lancé l'iddée des clé ssh, il pourra te le dire probablement

[Sp@r0]

Effectivement je ne suis pas encore passer au clef ECC faudrait que je regarde cela

pour l'interface graphique je ne sais pas si elle tiens compte des clefs installer sur les comptes j'aurais tendance à dire que oui mais pas tester je passe par la ligne de commande par habitude

[loli71]

Je confirme que l'interface graphique DSM permettant de créer les sauvegardes d'un syno à un autre ne permettent pas l'utilisation d'une clé ssh, il faut impérativement mettre le nom d'utilisateur et mot de passe permettant de se connecter (soit en rsync, soit en ssh si l'option de cryptage est coché) au syno de destination :-(

Il doit certainement y avoir un moyen de modifier la config à la main en indiquant la clé ssh à utiliser dans la command rsync

rsync -avz -e "ssh -i /root/.ssh/id_dsa" root@serveurdistant:/chemin/distant /chemin/local

Mais on risque de perdre la conf si on utilise l'interface graphique...

Autre solution: Voir aussi ce lien pour passer par la crontab et un script rsync utilisant ssh : http://blog.dahanne.net/2011/07/11/nas-synology-pour-les-sauvegardes-et-pour-diffuser-les-medias/

[Thom-]

Merci à vous trois pour vos réponses.

J'ai mis en place SSH sur un autre port avec un user spécifique long/complexe, mot de passe fort de + de 20 caractères, restriction IP, blocage IP après 3 mauvais mots de passe, pas d'accès à l'interface web, ...

Je n'ai pas voulu risquer de mettre en place une clé ssh vu que ca semble mal intégré dans l'interface DSM.

[gaetan.cambier]

Je n'ai pas voulu risquer de mettre en place une clé ssh vu que ca semble mal intégré dans l'interface DSM.

c'est toujours le problème des interface graphique, c  toujours limité, mais en ligne de commande, c'est 100% fonctionnel