Sécurisation du NAS pour un débutant:)

[deerka]

bonjour bonjour:)

voila mon NAS est installé (DS215+), il fonctionne bien, l'acces exterieur ne pose aucun soucis avec quickconnect, mais je me pose la question de la sécurité de laisser un NAS toujours connecté, et donc potentiellement piratable:)

Ce que j'ai fais:

-désactivation du compte admin, création d'un compte avec droit admin mais mot de passe complexe (chiffre, lettre et syboles)

-toutes les connexions passent en https

-firewall du NAs qui bloque toutes connexions extérieur à la France

-ip bannit après 5 mots de passe erronés.

j'ai lu qu'il fallait aussi changer les ports par défaut du NAS, et la je suis perdu: Dans tout les tutos ça a l'air simple, mais ce n'est pas détaillé (une histoire de NAT)

j'ai un routeur netgear R6250 (sous netgear génie) mais je ne vois pas du tout quoi faire....

(dessus j'ai seulement activé une réservation d'ip pour le NAS)

Si vous pouviez m'aider...:)

 

deuxième question, mon nas est capable de chiffrer les données, mais concrètement, si quelqu'un "casse" le mot de passe, il à accès a toutes les infos en clair?
le cryptage sert uniquement en cas de vol physique du NAS?

 

merci!!

 

[gaetan.cambier]

netgear genie ... bon, utilise la bonne vieille methode :

click sur le lien : http://192.168.0.1 tu t'identifie au routeur tu cherche le nat ou port forwarding

pour le cryptage, en effet, il protege de tout acces physique (vol) mais via le reseau, cela ne change rien, c'est tes mot de passe qui securise l'acces, si on le trouve, evidemment, on a acces aux données si les lecteur sont monter bien sur

[loli71]

Pour la config de ton routeur, regarde ce lien :http://kb.netgear.fr/app/answers/detail/a_id/22599/~/comment-la-redirection-de-port-est-elle-configurée %3F

il explique où trouver le port forwarding => Ajouter un service personnalisé, par contre, contrairement aux captures d'écran, décoche la case "use the same port range for internal port", le but étant d'utiliser un port externe différent du port interne.

Par exemple :

protocol: TCP

port externe de debut: 8443

port externe de fin: 8443

port interne de début : 5001

port interne de fin : 5001 (je ne sais pas si c'est nécessaire dans le cas de la redirection d'un seul port)

internal ip address : l'adresse IP de ton syno sur ton reseau local.

 

 

 

Modifié le 11 septembre 2015 par loli71

[deerka]

super merci!

bon dans mon routeur c'est mis "ouverture de port" mais le menu est le même (p-e une erreur de traduction? yen a pas mal dans netgear génie)

comment vérifier si ça a fonctionné?

@Gaetan: C'est pas bien netgeargénie? je vais peut etre installer un dd-wrt a la place, mais est ce vraiment utile? (il fait son job pour le moment!)

[gaetan.cambier]

bon, j'avais mal compris, c pas une appli, c'est l'interface web netgear genie :s

dd-wrt, si tu as pas de besoin particuler, ca ne changera rien

Modifié le 11 septembre 2015 par gaetan.cambier

[PiwiLAbruti]

Avec ce que tu as déjà configuré, tu es déjà bien au dessus de la moyenne des utilisateurs de NAS.

Le changement de port est une bonne idée car si je devais faire un scan pour détecter du Synology sur internet, je le ferai sur tcp/5000 et tcp/5001.

Pour vérifier le fonctionnement, il faut tester avec un appareil externe à ton réseau local (smartphone avec Wi-Fi désactivé) et faire une simple requête vers https://tonAdresseIPpublique:8443/.

[Fenrir]

Ce que j'ai écrit ci-dessous peut paraitre alarmiste, mais tu as déjà un niveau de protection largement supérieur à la moyenne, donc ne t'inquiètes pas

• désactivation du compte admin : ça ne le désactive pas, ça lui interdit simplement l'accès à la plupart des applications (dont le DSM), mettre un vrai mot de passe (plus de 20 caractères) est suffisant
• https : c'est une bonne chose, mais si tu utilises le certificat par défaut, ça ne te protège qu'en partie
• firewall limité à la France : pourquoi pas (je fais la même chose), ça limite beaucoup la surface d'attaquant (vs surface d'attaque)
• ban d'ip c'est très bien : pense aussi à la durée entre les tentatives (par exemple 5 erreurs en 10minutes)
• changer les ports : ça limite ceux qui cherchent des synology et ça permet d'utiliser des ports plus faciles d'usage, c'est tout
• pour ton routeur : aucune idée de ce qu'il peut faire, mais renseigne toi sur ses failles (80% des routeurs grand public ont des très gros trous de sécurité voir des backdoors)
• pour le chiffrement, il n'est pas uniquement lié au compte, il y a aussi (et surtout) un certificat, pour faire simple :
  • si tu demandes au synology de monter automatiquement les dossiers chiffrés, alors ça veut dire que la clef de chiffrement et son mot de passe sont stockés sur le syno, donc ça ne protège rien si ton mot de passe est compromis, que ça soit en réseau ou après un vol
  • dans le cas contraire, il faut le certificat privé et son mot de passe pour accéder aux données, que ce soit en réseau ou après un vol, par contre si tu fais ça, il faudra monter manuellement les dossiers chiffrés dans le syno via DSM avant de pouvoir y accéder et il ne faudra JAMAIS perdre cette clef ni son mot de passe

je rajouterai quelques points :

• firewall : n'ouvre que les ports nécessaires, y compris depuis ton lan (fais attention à ne pas te couper les accès)
• ssh : il faut l'activer depuis ton LAN, couplé à une authentification par clefs - tu peux penser que ça ouvre un accès, mais si le mot de passe admin (utilisé par le compte root) est suffisamment fort et/ou que tu utilises une authentification par clef, il n'y a que très peu de risques - ça te permet de couper très vite l'accès à ton syno en cas de besoin et d'y accéder en cas de plantage de DSM (c'est rare mais ça arrive)
• protection DOS : un DOS sert à 2 choses, rendre un service indisponible (pas grave pour un nas perso) mais aussi faire planter une appli pour accéder à ses failles
• fais en sorte que les autres comptes aient aussi un mot de passe correct : il faut trouver un bon compromis, si c'est trop, trop compliqué c'est inutilisable
• ton nas doit être à l'heure : configure la synchro NTP (je crois c'est le cas par défaut)
• tu peux aussi activer la double authentification (ça ne protège que certaines applis, mais c'est déjà ça)

et surtout, le plus important de tous :

• SAUVEGARDE, on parle de sauvegarde quand on répond à tout ou partie des points suivants :
  • c'est fait automatiquement : les données sont sauvegardées automatiquement (si on le fait à la main, il est certain que la panne arrivera après qu'on ait oublié de la faire)
  • c'est stocké ailleurs : si tu sauvegardes chez toi et que ton domicile brule ou est cambriolé, le nas et sa sauvegarde partiront probablement ensemble
  • c'est versionné : il faut faire des sauvegardes incrémentales ou différentielles, sinon si tu effaces/modifies un truc et que tu t'en rends compte après la sauvegarde, c'est perdu
  • c'est sélectif : il n'est peut-être pas nécessaire de tout sauvegarder (ça prend de la place et tu temps), moins tu as de choses à sauvegarder, plus c'est facile de le faire

[deerka]

wow ca c'est une réponse complete!! merci!!!

désactivation du compte admin :

C'est fait:)

• https : c'est une bonne chose, mais si tu utilises le certificat par défaut, ça ne te protège qu'en partie

ah. et comment avoir un bon certificat? :)

ban d'ip c'est très bien : pense aussi à la durée entre les tentatives (par exemple 5 erreurs en 10minutes)

C'est exactement ce que j'ai mis;)

pour ton routeur : aucune idée de ce qu'il peut faire, mais renseigne toi sur ses failles (80% des routeurs grand public ont des très gros trous de sécurité voir des backdoors)

il y a des mise a jour fréquente de netgear génie, mais je vais le flasher avec DD-WRT

firewall : n'ouvre que les ports nécessaires, y compris depuis ton lan (fais attention à ne pas te couper les accès)

je vais m en occuper

ssh : il faut l'activer depuis ton LAN, couplé à une authentification par clefs - tu peux penser que ça ouvre un accès, mais si le mot de passe admin (utilisé par le compte root) est suffisamment fort et/ou que tu utilises une authentification par clef, il n'y a que très peu de risques - ça te permet de couper très vite l'accès à ton syno en cas de besoin et d'y accéder en cas de plantage de DSM (c'est rare mais ça arrive)

 

Vais essayer de comprendre ca:)

protection DOS : un DOS sert à 2 choses, rendre un service indisponible (pas grave pour un nas perso) mais aussi faire planter une appli pour accéder à ses failles

je viens de l'activer dans les options du syno (ca n'inpact rien?)

fais en sorte que les autres comptes aient aussi un mot de passe correct : il faut trouver un bon compromis, si c'est trop, trop compliqué c'est inutilisable

ouip:)

ton nas doit être à l'heure : configure la synchro NTP (je crois c'est le cas par défaut)

NTp activé par défaut ouip:)

tu peux aussi activer la double authentification (ça ne protège que certaines applis, mais c'est déjà ça)

ca a l'air assez contraignant en fait...

 

et pour la sauvegarde, j'ai des DD un peu partout (parents et amis) avec les donnée vraiment importante (photos surtout)

le reste si je le perd c'est pas du super vitale... :)

[gaetan.cambier]

Pour un certificat : www.startssl.com ;)

Tous le reste à été dis

[deerka]

super:) he ben un grand merci à vous tous pour cette aide!!