S

[Olivier Jick]

Re-bonjour,

ça y est, tout marche en même temps.

Le seul problème à résoudre reste que mon nas n'est protégé par aucun FireWall, même si je prends en compte tout ce qui s'est dit dans ce forum, sur la nature des risques - à savoir que les vrais risques sont ceux qui relèvent des failles systèmes plutôt du risque qu'un Internaute (hacker) parvienne à passer outre mon routeur (c'est-à-dire ma passerelle).

Je suis venu sur ce forum, pour discuter, mais je ne voudrais pas vous ennuyer avec mes petits problèmes, auxquels je finirais bien comme d'habitude par trouver la ou les solutions.

Evidemment, si je peux éviter d'investir et de dépenser quelle que somme que ce soit, naturellement, ça serait super.

Quelle solution à votre avis pour mettre un pare-feu à l'entrée de mon Syno ?

Je sais : je relance le débat et ma question est lanscinante.

A+

Olivier Jick

[catimimi]

Re-bonjour,

Quelle solution à votre avis pour mettre un pare-feu à l'entrée de mon Syno ?

A+

Olivier Jick

Re Bonjour,

Je t'ai proposé pour 30 € celle dont je me contenterais. Elle te permettrait d'avoir un sous réseau sur un groupe d'adresses IP différent de celles de ton premier routeur. Les ordinateurs sur l'un des routeurs ne seront pas vus ceux sur l'autre sauf si tu joues avec les masques de sous-réseau.

Cordialement.

Michel.

[Johan]

Bonjour,

Je vois que mes projets et mes recherches pour sécuriser mes données amusent la gallerie.

Pas de problèmes, ça ne me gênent pas trop au contraire.

Disons, si je recherche une solution pour sécuriser mes données, c'est pas par hasard.

En 23 ans d'utilisation d'utilisation d'ordinateurs, j'ai déjà connu pas mal de crash de système ou de HDD, de pertes de données, avec toutes les conséquences que ça à.

Si mes données sont détruites quelles qu'en soit la cause, c'est 23 ans de travail (activité bureautique, multimédia et autres) qui s'en iront en fumée. C'est-à-dire des milliers d'heures de travail.

C'est l'expérience qui me fait rechercher et prendre toutes ses précautions.

------------------------

Pour répondre à Michel,

Pour le moment, je suis en DHCP.

Mon routeur Netgear 834 G a une adresse IP qui lui est attribué par Numéricable.

Il n'a pas de Firewall, c'est là une partie du problème.

Mes 2 PC ont une adresse IP du type 192.168.0.01

Lorsque je branche seulement le Syno et ma connexion à Internet en même temps, le routeur attribue automatiquement une adresse IP au Syno du même type qu'énoncé précèdemment.

Mais quand je branche directement et seulement le Syno à la carte réseau de mon ordinateur. je vois dans l'assistant du Syno que l'adresse IP du Syno (DHCP) est du type 255 ou 254.... quelques choses, bref une adresse IP en 200 et quelques choses.

Or, je crois que c'est là mon premier problème.

Et, je suis bien d'accord sur le fait qu'avant d'acheter un nouveau routeur, se serait déjà bien si j'arrivais à configuer mon réseau comme il faut. Mais, je vais apprendre et si je sais pas, je me ferai conseiller.

Bon, je vais lui attribué une IP fixe et essayer de tout faire marcher en même temps (Internet et le Syno).

Je vous dirai ce qu'il en est après.

Cordialement,

Olivier Jick

Bonjour,

Si ca m'amuse autant, c'est que ta recherche de sécurité me semble disproportionnée. Pour moi, le cryptage de tes données sensibles ainsi qu'un backup régulier me semble amplement suffisant. J'ajouterais de verifier l'intergrité de tes données avant de faire des backups (backups incrémentals si possible).

Et surtout comme cela a déjà été évoqué, le risque le plus grand à mon avis sont tes clients windows. Donc, par expérience, je me connecterais à mes données (et d'ailleurs à mon ordinateur en général) avec un compte user aillant uniquement des droits de lecture quand c'est possible, et d'éviter au maximum d'ouvrir des sessions windows en temps qu'admin (plus facile à dire qu'à faire...).

Pour ma petite expérience, je me connectais comme beaucoup en admin, avec mon disque réseau monté et tous les droits d'écriture. Je me suis chopé un virus qui s'est chargé de modifier tous les exécutables qu'il rencontrait... Mon antivirus n'a pas bronché, du moins pas tout de suite, mais tous mes fichiers exe de mon disque réseau étaient corrompus.

Si une sauvegarde auto se serait lancée à ce moment là, j'aurais été bien avancé. Mais n'ai pas eu ce soucis, je n'avais pas de sauvegarde récente, donc j'ai perdu beaucoup de données... Heureusement, seuls les fichiers .exe étaient touchés.

Effectivement avoir une sauvegarde à l'extérieur de chez soi n'est pas idiot non plus, en cas d'incendie, mais ca le syno le permet grâce à la sauvegarde réseau, mais il faudra passer par l'internet...

Donc pour ma part, j'ai un cs407 et un disque usb pour le backup (en attendant mon ds207 en SAV que je ne suis pas près de revoir...).

Pour la configuration de ton syno et de tes machines, je pense qu'il y a deja l'info sur ce forum.

Ton routeur a deux adresses: une externe (fourni par ton provider internet), une interne. Tes clients doivent etres configurer en ip fixe ou dhcp avec l'adresse de référence de la passerelle (le routeur en l'occurence) pour eux pouvoir communiquer avec l'extérieur.

Pour ma part, j'ai mon syno avec une ip fixe (plus facile pour le paramétrage du port forwarding), et mes clients en dhcp.

Voilà, j'ai écrit une belle tartine aussi .

Johan

[Johan]

Re-bonjour,

ça y est, tout marche en même temps.

Le seul problème à résoudre reste que mon nas n'est protégé par aucun FireWall, même si je prends en compte tout ce qui s'est dit dans ce forum, sur la nature des risques - à savoir que les vrais risques sont ceux qui relèvent des failles systèmes plutôt du risque qu'un Internaute (hacker) parvienne à passer outre mon routeur (c'est-à-dire ma passerelle).

Je suis venu sur ce forum, pour discuter, mais je ne voudrais pas vous ennuyer avec mes petits problèmes, auxquels je finirais bien comme d'habitude par trouver la ou les solutions.

Evidemment, si je peux éviter d'investir et de dépenser quelle que somme que ce soit, naturellement, ça serait super.

Quelle solution à votre avis pour mettre un pare-feu à l'entrée de mon Syno ?

Je sais : je relance le débat et ma question est lanscinante.

A+

Olivier Jick

Je pense que le fait d'avoir un routeur est déja une sécurité en soi. En effet, tes machines ne sont pas directement exposées sur le net.

Un firewall est sans aucun doute un plus, mais encore faut-il que celui-ci soit bien configuré.

Mais le firewall (arretez moi si je me trompe) va empêcher des connections extérieurs non sollicitées.

Une des faiblesses que je vois, c'est que pour que tes amis puissent se connecter à ton syno, tu vas ouvrir des brèches (les fameux ports qu'on redirige vers le syno et qui posent tant de problème pour le néophyte).

Et donc si on doit attaquer ton syno, ca sera par ces portes ouvertes et sur des failles du syno. Et ca, je ne pense pas que tu puisses y faire grand chose...

Johan

[Alastor 2262]

Re-bonjour,

...

Quelle solution à votre avis pour mettre un pare-feu à l'entrée de mon Syno ?

Je sais : je relance le débat et ma question est lanscinante.

A+

Olivier Jick

Réponse : tu en a déjà un qui fait tout ce qu'il est possible de faire au titre de matériel pour particulier !

Je m'explique :

Un router tel que celui que tu as déjà fait les choses suivantes :

- Il autorise tous les flux allant de ton réseau local vers Internet, et cela sans restriction aucune.

- Il interdit tous les flux venant d'Internet et allant sur ton réseau local, à l'exception :

- des flux répondant à une requête émise depuis ton réseau local (ton outlook lance la recherche de mail, il contact un serveur SMTP sur le port 110,le routeur laisse entrer le trafic du serveur en question, sur le port 110, à destination de ton PC, le routeur suit les échanges pour s'adapter au changement de port en cours d'échange - fork... - et interdire les flux suite à une déconnexion).

- des flux explicitements autorisés par la redirection de port autorisé dans la gestion de ton routeur.

D'ailleurs ce ne sont pas des fonctions de firewalling, mais le fonctionnement de base du NAT !

Une solution d'entreprise ne fait pas beaucoup plus, sauf qu'il y a généralement en plus le filtrage du flux sortant.

A ma connaissance - mais je peux me tromper sur ce point - aucun DLink, Linksys et autre ne filtre le flux sortant. Pour cela, hors achat de matos pro, il te faut une machine Linux, dotée de cartes réseaux et netfilter ou assimilé. Certaines disrtib GNU/Linux sont faite expres pour cela.

En même temps, pourquoi s'embéter, le seul risque de ne pas filtrer les données sortante, c'est qu'un ver emétte à quelqu'un tout ce qu'il trouve sur ton PC, et encore, il faudrait qu'il le fasse sur des ports non standardisé (autre que 8O, 25, 110...) pour que le routeur Linux ne le laisse pas passer !

Donc au final, contrairement à ce que tu as compris jusque là, le plus grand risque vient des PCs qui peuvent chopper des ver, pas du syno !

Et la meilleure protection, c'est de ne pas chopper de ver et assimilé en ne faisant pas n'importe quoi ! (par exemple, commence par arréter de télécharger par via amule, si tu as tellement peur de perdre des données !)

Les failles système de ton syno ont énormément moins de chance d'être exploitée que ton PC de chopper une saloperie. Et encore moins si tu ne le met pas en DMZ, puisqu'une fois encore, la surface d'attaque est extrémement limité !

Concernat l'idée de Catimini de mettre un deuxième routeur, elle n'est pas aussi simple à mettre en oeuvre qu'il ni parait, de plus, dans la plupart des cas avec un routeur personnel du commerce, les deux réseaux logiques (plan d'adressage distincts), seront sur le même support physique (les câbles), donc au final et selon une approche sécuritaire, cela ne protege rien du tout !

Concernant le problème que tu as rencontré avec ton syno, pour éclairer ta lanterne, c'est le suivant :

Il était en DHCP, un serveur doit donc lui fournir une adresse IP, ce serveur c'est ton routeur, donc sans le routeur, il ne peut pas avoir d'adresse IP, il s'en attribu alors une automatiquement, dans une plage réservé à cet usage, de la forme 169.254.X.Y ! Ce mécanisme s'appel APIPA (Automatic Private IP addressing)

Tu veux sécuriser ton réseau et tes données, mais concernant le réseau, tu ne sembles pas en connaître les bases. C'est un constat, pas une critique, tout le monde n'est pas informaticien. Par ailleurs ton approche me semble paranoïaque.

A titre d'exemple :

voici mon approche, elle n'est pas parfaite mais me suffit, y compris pour les besoins professionnels de ma Dame qui bosse depuis la maison :

toutes mes données courante sont sur mes ordinateurs, afin d'être accédées efficacement en locale, elles sont sauvegardée périodiquement et automatiquement sur le syno. Le syno, outre ces sauvegardes, contient toutes les données peu accédées, ou peu modifiées (doc, films, musique, archives, photos) que j'ai par ailleurs sur CD ou DVD. L'intégralité du syno est sauvegardée périodiquement et automatiquement sur un disque USB.

Mon seul manque est de ne pas avoir de sauvegarde déportée, en cas d'incendie par exemple, en même temps, dans ce cas, je pleurerais certainement en premier d'autre chose que mes données informatiques !

Ca c'est pour l'aspect sauvegarde des données. Pour l'aspect sécurité : le firewall d'XP, un anti-virus gratuit, un soft de cryptage pour mes données sensibles, des certificats numériques pour signer mes emails, et surtout, je sais ce que je fais - généralement - quand je surfe ou télécharge !

Pour le reste, comme d'autre ici, je bosse dans l'informatique, et je trouve ton approche trop poussé, pour un risque et un enjeux sommes toute très limité ! (a titre d'exemple, quand tu évoque deux syno sur deux alimentations électriques distinctes, tu as deux compteurs électriques chez toi ? alimentés par deux lignes et deux transfo EDF différents ? - si non, c'est certe une jolie expression, mais vide de sens !)

D'autant que l'argent que tu vas dépenser, comme déjà dit, ne va pas améliorer la sécurité de ton réseau ou de tes données !

Cela dit, chacun est libre de faire ce qui lui plait !

A+

[Olivier Jick]

Re Bonjour,

Je t'ai proposé pour 30 € celle dont je me contenterais. Elle te permettrait d'avoir un sous réseau sur un groupe d'adresses IP différent de celles de ton premier routeur. Les ordinateurs sur l'un des routeurs ne seront pas vus ceux sur l'autre sauf si tu joues avec les masques de sous-réseau.

Cordialement.

Michel.

Je pense effectivement que je choisir cette solution. J'attends un peu. Mon hésitation tient seulement au fait que celui que tu m'as proposé n'a que 4 ports, donc 4 ordi ou appareils connectable au sous réseau.

Je me pose une autre petite question.

Actuellement, j'ai des adresse du type 169.168.0.01. Le routeur dont tu m'as donné les références aura donc une adresse également de ce type.

La solution que tu me proposes me convient, pour disposer d'un premier niveau de sécurité. J'ai opté pour celle-ci dans les prochains jours. 4 ports si je veux connecter des périphériques, ça risque d'être juste.

Je te dirai ce que j'ai choisi.

Merci pour tes conseils et ceux des autres.

Pour le moment, tout fonctionne, c'est déjà bien.

Je vais copier mes données dans le Syno progressivement. ça prend pas mal de temps visiblement, mais je reste content de mon achat. Je m'étais renseigné sur les taux de débit / transfert et je ne m'attendais pas à des miracles de ce côté là.

J'ai noté que mon syno a mis 136 minutes pour tranférer 36 gigas (réseau mégabits 10/100 pour le moment chez moi). Je passerai en Gigabit au mois de septembre ou de décembre, lorsque je changerai de PC.

Quels sont vos taux de transferts ?

Le transfert par USB : 236 minutes pour 36 gigas de mon côté depuis un HDD externe.

Je vais regarder ce problème de plus près dès que j'aurais un plus de temps.

Merci,

A+

Olivier Jick

[Johan]

Re Bonjour,

Je t'ai proposé pour 30 € celle dont je me contenterais. Elle te permettrait d'avoir un sous réseau sur un groupe d'adresses IP différent de celles de ton premier routeur. Les ordinateurs sur l'un des routeurs ne seront pas vus ceux sur l'autre sauf si tu joues avec les masques de sous-réseau.

Cordialement.

Michel.

Je pense effectivement que je choisir cette solution. J'attends un peu. Mon hésitation tient seulement au fait que celui que tu m'as proposé n'a que 4 ports, donc 4 ordi ou appareils connectable au sous réseau.

Je me pose une autre petite question.

Actuellement, j'ai des adresse du type 169.168.0.01. Le routeur dont tu m'as donné les références aura donc une adresse également de ce type.

La solution que tu me proposes me convient, pour disposer d'un premier niveau de sécurité. J'ai opté pour celle-ci dans les prochains jours. 4 ports si je veux connecter des périphériques, ça risque d'être juste.

Je te dirai ce que j'ai choisi.

Merci pour tes conseils et ceux des autres.

Pour le moment, tout fonctionne, c'est déjà bien.

Je vais copier mes données dans le Syno progressivement. ça prend pas mal de temps visiblement, mais je reste content de mon achat. Je m'étais renseigné sur les taux de débit / transfert et je ne m'attendais pas à des miracles de ce côté là.

J'ai noté que mon syno a mis 136 minutes pour tranférer 36 gigas (réseau mégabits 10/100 pour le moment chez moi). Je passerai en Gigabit au mois de septembre ou de décembre, lorsque je changerai de PC.

Quels sont vos taux de transferts ?

Le transfert par USB : 236 minutes pour 36 gigas de mon côté depuis un HDD externe.

Je vais regarder ce problème de plus près dès que j'aurais un plus de temps.

Merci,

A+

Olivier Jick

Je t'ai déjà proposé d'ajouter un switch ou un simple HUB si tu as besoin de plus de port dans le futur...

Johan

[KDD]

Il est possible d'installer le pare-feu iptables via ipkg. Par contre il manque toujours un module noyau pour qu'il soit fonctionnel. Si quelqu'un a déjà réussi le faire fonctionner sur un NAS Synology, je suis intéressé.

[Alastor 2262]

Re Bonjour,

Je t'ai proposé pour 30 € celle dont je me contenterais. Elle te permettrait d'avoir un sous réseau sur un groupe d'adresses IP différent de celles de ton premier routeur. Les ordinateurs sur l'un des routeurs ne seront pas vus ceux sur l'autre sauf si tu joues avec les masques de sous-réseau.

Cordialement.

Michel.

Vu la tournure de ta phrase, je ne pense pas que tu as déjà essayé cette solution, non ?

Une question, ce n'est pas un piège je ne connais pas la réponse - j'utilise ma freebox en mode routeur - mais la réponse m'intéresse :

Est-il possible de brancher autre chose qu'un modem Ethernet - en l'occurrence un switch pour un réseau différent - sur la patte WAN d'un routeur ADSL ?

Je ne parle bien sur pas de câblage, mais de gestion dans l'interface d'admin, est-il possible de faire autre chose que du PPPoe ou a sur cette patte ?

A+

[catimimi]

Vu la tournure de ta phrase, je ne pense pas que tu as déjà essayé cette solution, non ?

Une question, ce n'est pas un piège je ne connais pas la réponse - j'utilise ma freebox en mode routeur - mais la réponse m'intéresse :

Est-il possible de brancher autre chose qu'un modem Ethernet - en l'occurrence un switch pour un réseau différent - sur la patte WAN d'un routeur ADSL ?

Je ne parle bien sur pas de câblage, mais de gestion dans l'interface d'admin, est-il possible de faire autre chose que du PPPoe ou a sur cette patte ?

A+

Bonjour,

J'ai employé le conditionnel pour le cas où il retiendrait cette solution. En ce qui me concerne, je l'ai testé, cela marche et j'utilise. Sur la patte WAN il y a la livebox avec sou routeur-firewall et ses adresses IP de 192.168.0.1 à 192.168.0.255 (oui, ce ne sont pas les adresses standard pour la livebox), sur l'un des connexteurs ethernet de la livebox, il y a un switch gigabit pour le LAN. Sur l'autre prise, il y a le routeur-firewall-wifi Netgear avec ses adresses IP de 192.168.1.1 à 192.168.1.255. Pour mes invités je n'active pas le wifi de la livebox, mais celui de ce routeur qui ne sait pas communiquer avec mon LAN et qui n'a aucun port ouvert en entrée.

A+

Michel

[Alastor 2262]

Bonjour,

J'ai employé le conditionnel pour le cas où il retiendrait cette solution. En ce qui me concerne, je l'ai testé, cela marche et j'utilise. Sur la patte WAN il y a la livebox avec sou routeur-firewall et ses adresses IP de 192.168.0.1 à 192.168.0.255 (oui, ce ne sont pas les adresses standard pour la livebox), sur l'un des connexteurs ethernet de la livebox, il y a un switch gigabit pour le LAN. Sur l'autre prise, il y a le routeur-firewall-wifi Netgear avec ses adresses IP de 192.168.1.1 à 192.168.1.255. Pour mes invités je n'active pas le wifi de la livebox, mais celui de ce routeur qui ne sait pas communiquer avec mon LAN et qui n'a aucun port ouvert en entrée.

A+

Michel

Je me demandais comment c'était possible que les PCs derrière le netgear ne voient pas les PCs derrière la livebox, j'ai regardé la doc de ton netgear, tu as mis des règles dans le firewall pour interdire le trafic depuis le réseau 192.168.1 vers le réseau 192.168.0, hors adresse de la livebox, c'est cela ?

J'avais oublié le firewall, que n'a pas ma freebox.

Il a l'air bien foutu celui là !

[Edit]

Et j'ai donc écrit une carabistouille lorsque j'ai écrit que la plupart des routeurs personnels ne filtraient pas le flux sortant !

Désolé !

[/edit]

[Johan]

Je me demandais comment c'était possible que les PCs derrière le netgear ne voient pas les PCs derrière la livebox, j'ai regardé la doc de ton netgear, tu as mis des règles dans le firewall pour interdire le trafic depuis le réseau 192.168.1 vers le réseau 192.168.0, hors adresse de la livebox, c'est cela ?

J'avais oublié le firewall, que n'a pas ma freebox.

Il a l'air bien foutu celui là !

[Edit]

Et j'ai donc écrit une carabistouille lorsque j'ai écrit que la plupart des routeurs personnels ne filtraient pas le flux sortant !

Désolé !

[/edit]

Ben en général, c'est bien le cas non...

[Alastor 2262]

Ben en général, c'est bien le cas non...

De quoi ? qu'ils ne filtrent pas en sortant ?

Par défaut, non, mais certains peuvent. J'ai tendance à oublier que beaucoup de routeurs font mieux que ma freebox, voir qu'un certain nombre font aussi bien que certaines distribution GNU/Linux

Maintenant, à part l'usage particulier de catimini - et du mien avec ma petite machine gnu/linux - je ne vois pas trop l'intérêt, pour un particulier en tous les cas, une petite entreprise je dis pas !

Par contre le flux entrant selon l'adresse IP, si tous les "clients" du syno ont des IP fixes, pourquoi pas ! en même temps, si tu en arrive là, autant monter un VPN, l'échange de données lui même, en plus de l'accès, sera alors sécurisé. Pour en arriver là, faut vraiment faire dans l'illégale ou le super confidentiel

Encore qu'il reste l'amusement de le mettre en place, pour certains. Moi ça m'ai passé, je m'amuse assez à faire de l'utile, sans aller chercher l'inutile (dans mon cas).

[Didier31]

Bonjour,

Désolé d'apporter tardivement mon grain de sel, mais vaut mieux tard que jamais.

Il y a 2 problèmes dans ce problème:

1) compréhension des réseaux

2) paramétrage des équipements

1) Réseau:

Numéricable fournit un équipement pour ses abonnés comme tous les FAI

- soit c'est un simple modem (offre 30Mbits): 1 seule prise, donc 1 seul PC. A priori ce n'est pas le cas de notre ami.

- soit c'est un modem / routeur ethernet et wifi (offre 100Mbits). A priori c'est le cas de notre ami.

Une recherche chez NC donne la description du matériel http://www.numericable.fr/offre/offre_inte...0_mega_wifi.php

Donc, le matériel fournit par NC est bien un routeur: il est capable de faire relier 2 réseaux: internet d'un coté et le réseau local de l'autre. Il s'occupe de tout.

Ne pas confondre un routeur et un switch:

- un switch est une "multi prise" pour réseau.

- le routeur est un multi prise intelligente qui sépare 2 réseaux. (ok c'est schématique)

2) Paramétrage du routeur:

imaginons que l'on repère l'IP (pas très dynamique chez NC) de notre ami. On peut toujours l'adresser. Et après? Après c'est le routeur qui décide de ce qu'il fait ! Quand on adresse un service (un port) de l'IP de notre ami, le routeur redirige, ou pas, cette entrée sur une adresse privée, c'est à dire non routable, en général de la forme 192.168.x.x (c'est la translation d'adresse) et éventuellement sur un autre port (c'est le port triggerring ou changement de port)

En général, les routeurs laissent tout sortir (de la maison vers internet) et ne laisse rien entrer (de internet vers la maison): sécurité totale.

Si on décide de laisser entrer quelque chose, alors il faut savoir quoi (le port) et enfin quelle adresse interne, et sur quel port, va rendre ce service.

On doit donc faire une redirection d'un port vers une adresse interne et sur un autre port éventuellement. Mais, pour cela on doit connaître l'adresse interne, qui elle est attribuée généralement en DHCP, c'est à dire dynamiquement, c'est à dire qu'elle change à chaque fois ou presque. Donc afin de ne pas refaire ce paramétrage à chaque redémarrage du système, on attribue un adresse interne fixe au NAS (hors plage DHCP) et puis on redirige le flux entrant vers cette adresse et le port.

La mise en DMZ d'une machine est la même chose, mais pour tous les ports d'un seul coup. A éviter.

Donc un routeur est obligé de faire firewall : sinon comment fait-il pour translater tout seul?

Exemple: @ interne du NAS 192.128.100.100

On redirige donc le flux entrant du port 12345 (original non?) vers l'adresse 192.128.100.100 port

--> on peut donc accéder depuis internet au site hébergé sur le nas (comme en faisant http://diskstation en local s'il y a un site) en tapant http://adresse_publique:12345 et à partir de là, et seulement là, les problèmes de sécurité se posent!

Il faut alors sécuriser l'accès au site (ou pas?) avec une devinette, une image avec des lettres dedans (pour refuser l'indexation par les robots), un mot de passe (cf. .htacess), un filtrage sur les IP clients (cf. httpd.conf), la météo, la bourse ...

Oui, mais en local, je suis redirigé vers le port 5000 d'admin. Ceci veut dire qu'il n'y a pas de site (contraire à notre hypothèse) et puis, pas de panique, le port 5000 et fermé, donc inaccessible depuis le vilain monde internet.

Et ainsi de suite pour tous les services entrants (smb, ftp, filestation, ...)

Conclusion:

- Notre ami est sécurisé avec son routeur firewall

- Notre ami peut arrêter ces firewall à la con sur ces PC à moins qu'il se méfie des autres PC de sa maison

- Notre ami peut ouvrir quelques services en sécurisant un minimum

- Notre ami doit s'inscrire à un service de DNS dynamique (ddns gratuit en général) pour pouvoir accéder à son site, sans connaître par cœur son adresse publique qui peut changer, avec une adresse de la forme: notreami.serviceddns.org

Bonne journée.

[Johan]

Bonjour,

Désolé d'apporter tardivement mon grain de sel, mais vaut mieux tard que jamais.

Il y a 2 problèmes dans ce problème:

1) compréhension des réseaux

2) paramétrage des équipements

1) Réseau:

Numéricable fournit un équipement pour ses abonnés comme tous les FAI

- soit c'est un simple modem (offre 30Mbits): 1 seule prise, donc 1 seul PC. A priori ce n'est pas le cas de notre ami.

- soit c'est un modem / routeur ethernet et wifi (offre 100Mbits). A priori c'est le cas de notre ami.

Une recherche chez NC donne la description du matériel http://www.numericable.fr/offre/offre_inte...0_mega_wifi.php

Donc, le matériel fournit par NC est bien un routeur: il est capable de faire relier 2 réseaux: internet d'un coté et le réseau local de l'autre. Il s'occupe de tout.

Ne pas confondre un routeur et un switch:

- un switch est une "multi prise" pour réseau.

- le routeur est un multi prise intelligente qui sépare 2 réseaux. (ok c'est schématique)

2) Paramétrage du routeur:

imaginons que l'on repère l'IP (pas très dynamique chez NC) de notre ami. On peut toujours l'adresser. Et après? Après c'est le routeur qui décide de ce qu'il fait ! Quand on adresse un service (un port) de l'IP de notre ami, le routeur redirige, ou pas, cette entrée sur une adresse privée, c'est à dire non routable, en général de la forme 192.168.x.x (c'est la translation d'adresse) et éventuellement sur un autre port (c'est le port triggerring ou changement de port)

En général, les routeurs laissent tout sortir (de la maison vers internet) et ne laisse rien entrer (de internet vers la maison): sécurité totale.

Si on décide de laisser entrer quelque chose, alors il faut savoir quoi (le port) et enfin quelle adresse interne, et sur quel port, va rendre ce service.

On doit donc faire une redirection d'un port vers une adresse interne et sur un autre port éventuellement. Mais, pour cela on doit connaître l'adresse interne, qui elle est attribuée généralement en DHCP, c'est à dire dynamiquement, c'est à dire qu'elle change à chaque fois ou presque. Donc afin de ne pas refaire ce paramétrage à chaque redémarrage du système, on attribue un adresse interne fixe au NAS (hors plage DHCP) et puis on redirige le flux entrant vers cette adresse et le port.

La mise en DMZ d'une machine est la même chose, mais pour tous les ports d'un seul coup. A éviter.

Donc un routeur est obligé de faire firewall : sinon comment fait-il pour translater tout seul?

Exemple: @ interne du NAS 192.128.100.100

On redirige donc le flux entrant du port 12345 (original non?) vers l'adresse 192.128.100.100 port

--> on peut donc accéder depuis internet au site hébergé sur le nas (comme en faisant http://diskstation en local s'il y a un site) en tapant http://adresse_publique:12345 et à partir de là, et seulement là, les problèmes de sécurité se posent!

Il faut alors sécuriser l'accès au site (ou pas?) avec une devinette, une image avec des lettres dedans (pour refuser l'indexation par les robots), un mot de passe (cf. .htacess), un filtrage sur les IP clients (cf. httpd.conf), la météo, la bourse ...

Oui, mais en local, je suis redirigé vers le port 5000 d'admin. Ceci veut dire qu'il n'y a pas de site (contraire à notre hypothèse) et puis, pas de panique, le port 5000 et fermé, donc inaccessible depuis le vilain monde internet.

Et ainsi de suite pour tous les services entrants (smb, ftp, filestation, ...)

Conclusion:

- Notre ami est sécurisé avec son routeur firewall

- Notre ami peut arrêter ces firewall à la con sur ces PC à moins qu'il se méfie des autres PC de sa maison

- Notre ami peut ouvrir quelques services en sécurisant un minimum

- Notre ami doit s'inscrire à un service de DNS dynamique (ddns gratuit en général) pour pouvoir accéder à son site, sans connaître par cœur son adresse publique qui peut changer, avec une adresse de la forme: notreami.serviceddns.org

Bonne journée.

Bonjour,

Je ne suis pas d'accord avec ton post...

1) A ne pas confondre la NAT et le firewall... (il n'a pas toujours de firewall dans un routeur !!!) Biensur que le routeur est déjà une protection vu qu'il ne laisse passer que ce qu'on lui demande (NAT, port forwarding), mais le firewall ajoute en plus un filtre sur les trames à travers certaines règles (d'où l'importance d'une bonne configuration).

2) Je pense pas qu'on doive se fier uniquememt au firewall intégré dans le routeur. En effet, si tu chopes un programme trojan ou autre sur internet ou que tu désires filtrer les applications qui ont le droit de sortir vers internet, ton firewall software te sera bien utile (en plus de te protéger des autres menaces éventuelles issues de ton propre réseau). Je pense que les deux protections sont complémentaires, tout comme la mise à jour régulière de l'OS ainsi que de l'antivirus.

Johan

[catimimi]

tu as mis des règles dans le firewall pour interdire le trafic depuis le réseau 192.168.1 vers le réseau 192.168.0, hors adresse de la livebox, c'est cela ?

Bonjour,

Les ordinateurs du réseau 192.168.0 ne sont p)as vus par le réseau 192.168.1 (et réciproquement) du fait des masques de sous-réseau, J'ai de plus simplement bloqué les ports 138-139 et 445 sur le réseau 192.168.1 et ainsi les partages Samba/cifs des ordinateurs du réseau 192.168.0 ne pourraient être montés au cas où ils seraient connus.

Le firewall n'est malheureusement pas paramtrable pour bloquer une plage d'adresses IP en destination.

Cordialement.

Michel.

[Alastor 2262]

Bonjour,

Les ordinateurs du réseau 192.168.0 ne sont p)as vus par le réseau 192.168.1 (et réciproquement) du fait des masques de sous-réseau, J'ai de plus simplement bloqué les ports 138-139 et 445 sur le réseau 192.168.1 et ainsi les partages Samba/cifs des ordinateurs du réseau 192.168.0 ne pourraient être montés au cas où ils seraient connus.

Le firewall n'est malheureusement pas paramtrable pour bloquer une plage d'adresses IP en destination.

Cordialement.

Michel.

Ben dans ce cas là, je vois pas pourquoi ils ne se voient pas !

Certe, ils n'ont pas accès aux partages, mais les pings et tous le reste doit alors passer, non ?

Puisque ton netgear fait du NAT coté Livebox.

Ou alors la livebox a une spécificité pas vraiment normalisée !

[Didier31]

Bonjour Johan,

1) Si le routeur ne sait pas router, il ne route pas. Donc il bloque. C'est un peu le rôle d'un firewall avec les alarmes en moins. Mais sur la définition, Johan 1- Didier 0.

2) Pour ce qui est des firewall "soft": un virus s'attaque en priorité de l'antivirus, puis du firewall soft. Le plus sûr, c'est de ne pas le laisser entrer avec une mise à jour de l'antivirus, et de l'OS. Mais sur un réseau local ...

[Johan]

Bonjour Johan,

1) Si le routeur ne sait pas router, il ne route pas. Donc il bloque. C'est un peu le rôle d'un firewall avec les alarmes en moins. Mais sur la définition, Johan 1- Didier 0.

2) Pour ce qui est des firewall "soft": un virus s'attaque en priorité de l'antivirus, puis du firewall soft. Le plus sûr, c'est de ne pas le laisser entrer avec une mise à jour de l'antivirus, et de l'OS. Mais sur un réseau local ...

Bonjour Didier,

1) Oui, mais un firewall peut aussi filtrer certains protocoles, ou obéir à une règle défine... Ils font donc un contrôle sur le traffic (entrant en général dans le cas des routeurs pour particulier).

2) Bien sûr, ce n'est pas la panacée. Mais Ce n'est pas le role du firewall de contrer (directement) les virus. Mais ca peut empecher des applications locaces sur ton pc d'envoyer des infos personnelles à travers le net. J'ai été bien souvent surpris du nombre d'application qui demande un accès au net sans qu'elles en aient réellement besoin... Et pour faire quoi, je l'ignore, ce n'était pas un service de mise à jour en tout cas.

Johan

[Olivier Jick]

Re-bonjour,

j'ai lu en diagonale les derniers posts.

Fort intéressant apparemment. Je vais reprendre la lecture de ces posts de façon détaillé, dès que j'aurais un peu temps.

Pour rappel, mon netgear CVG 834 G n'a pas de Firewall.

J'ai l'intention de faire un sous-réseau.

Vos posts et vos réponses m'ont déjà bien aidés et en aide - aideront d'autres visiblement.

A+

Olivier Jick

[simplet]

Bonjour Didier,

1) Oui, mais un firewall peut aussi filtrer certains protocoles, ou obéir à une règle défine... Ils font donc un contrôle sur le traffic (entrant en général dans le cas des routeurs pour particulier).

2) Bien sûr, ce n'est pas la panacée. Mais Ce n'est pas le role du firewall de contrer (directement) les virus. Mais ca peut empecher des applications locaces sur ton pc d'envoyer des infos personnelles à travers le net. J'ai été bien souvent surpris du nombre d'application qui demande un accès au net sans qu'elles en aient réellement besoin... Et pour faire quoi, je l'ignore, ce n'était pas un service de mise à jour en tout cas.

Johan

Entierement d'accord avec Johan.

Un routeur n'est pas un firewall même si dans les faits, il fait une partie du travail d'un firewal et que cela apporte une certaine sécurité en plus.

Par exemple en sortie de réseau, une personne n'ayant besoin que du web et des mails laissera passer en entree/sortie (mode statefull) que les ports http, https, pop, smtp et le dns contrairement au routeur qui laisse tout sortir. Si le reseau local a chopé une saloperie qui utilise un port non choisi ça va se voir de suite.

Le problème est que l'on arrive vite a des notions qui ne sont pas comprise pas l'utilisateur moyen. Et même avec des règles assez strictes on peut encore passer au travers en utilisant des ports qui sont quasi obligatoirement ouvert et assez peu controlés. On peut faire mieux via un proxy, mais on sort complètement d'une utilisation domestique et cela règle pas les tentatives de cartographie réseau et les attaques sur les services disponiblent...

Bref il est préférable de mettre en place quelques règles simples (mode routeur pour la box, éviter le compte admin pour travailer, avoir un anti virus à jour, un firewall applicatif sur les 2 ou 3 machines de la maison, crypter les données sensible, avoir des backups) et d'avoir un minimum de bon sens en ne cliquant pas sur tout et n'importe quoi. Ca évitera 99% des problèmes tout en étant accessible par l'utilisateur lambda.

[mohamed]

Très intérressant ce post effectivment, Olivier Jick tu n'as pas lancé un sujet banal mais un des plus important dans l'informatique après la disponibilité et le backup.

Mais je crois que cela va un peu loin de la réalité, croyez-moi je suis informaticien dans plusieurs entreprises et les trous de sécurité ne manquent pas, des VNC ouvert depuis l'extérieur sur des serveurs, des FTP ouvert sur les serveurs, des P2P installés sur des PC partageant les datas de l'entreprises, et pourtant jamais vu de hacking depuis 15 ans. La grosse artillerie s'applique plutôt à des banques ou assurances. Le seul gros problème, une fois que l'IP est connue et échangée dans les forums c'est le spam, qui lui rapporte des EUROS !!! Cela-dit le firewall est quand même primordiale pour une sécurité avancée (que je ne considère pas être mon cas, tant que les accès reste perso).

Pour ma part j'ai mon DS207+ derrière un Speedtouch tous simple qui fait du nat depuis le "Game and applications assigning ports". C'est pas top mais ça marche bien. J'ai fais des tests de scan de ports en ligne tout est bien closed.

https://monsiteddns/ me donne accès à mon routeur de l'extérieur.

http://monsiteddns:8080 redirigé par mon routeur me donne accès à mon NAS (interface gestion).

http://www.monsite.be/ me donne accès vers mon site qui lui se trouve chez mon hébergeur (pour bénéficier d'un service minimum en cas d'arrêt de mon NAS). Depuis ce site je créé des redirections vers les urls cachée de mon NAS. Ainsi je bénéficie de la vitesse et de la disponibilié de mon hébergeur et des ressources de mon NAS pour les datas.

Pour le wifi, y'a pas vraiment d'autres solution que la DMZ, soit ont ferme l'accès au NAS depuis le Wifi et vous ne pourrez plus controller votre NAS depuis votre PDA, GSM ou Iphone, soit vous l'autorisez et le risque est présent mais je contrôle les logs de mon wifi régulièrement et pas grand chose à craindre si tu habites la campagne ou dans un village.

Pour me faire hacker il faut de 1 que le hacker me détèste :-) de 2 qu'il soit expert en linux pour hacker la DS de 3 qu'il soit expert en php ou alors des 3. Si je trouve le gars qui me déteste, maîtrise le wifi, le php et le linux, je suis mort.

Pour le PC pas non plus de miracle, passer sous linux ou vista avec un bon firewall et antivirus. Préférer les compte users aux comptes admin.

Pour conclure, tant que vous avez un usage perso de votre espace, vous avez 1 chance sur 1.000.000 de vous faire hacker mais si vous tenez un espace publique, type forum ou blog votre NAS devient une cible.

Compte tenu également de l'importance des données que tu héberges, si c'est des données perso, l'enjeu du hacking ,n'en vaut pas la peine. La principale victoire du hacker est la notoriété de sa victime.

[Didier31]

Bonjour Didier,

1) Oui, mais un firewall peut aussi filtrer certains protocoles, ou obéir à une règle défine... Ils font donc un contrôle sur le traffic (entrant en général dans le cas des routeurs pour particulier).

2) Bien sûr, ce n'est pas la panacée. Mais Ce n'est pas le role du firewall de contrer (directement) les virus. Mais ca peut empecher des applications locaces sur ton pc d'envoyer des infos personnelles à travers le net. J'ai été bien souvent surpris du nombre d'application qui demande un accès au net sans qu'elles en aient réellement besoin... Et pour faire quoi, je l'ignore, ce n'était pas un service de mise à jour en tout cas.

Johan

1) Exact, le routeur travaille au niveau IP couche 3, le firewall lui travaille au niveau des ports dans les 2 sens. Le routeur des "particuliers" bloque tout flux entrant, donc c'est un peu "sécure"

2) Exact, aussi à chacun son boulot. Pour les applications qui sortent intempestivement, ce sont très souvent les mises à jours. W... est le champion (des virus? ;+) A désactiver (jushed, adobe, ...)

Mais des PC avec un antivirus, un routeur qui bloque tout en entrant (avec firewall intégré comme les linksys WRT54), c'est déjà très bien au niveau sécurité.

Le top en terme de sécurité, c'est de ne pas être connecté ...

Bonne soirée.

[Olivier Jick]

Bonjour à tous,

je vois que mes questions sur la sécurité ont fait couler "beaucoup d'encre".

Petit rappel de ma problèmatique :

1. - J'ai acheté il y a 15 jours, un Syno 207+ : mon premier NAS perso.

2. - je dispose d'un modem routeur Netgear CVG 834 G, qui m'a été fourni par mon FAI (Numéricable).

3. - Ma question de départ était :

Comment je peux faire pour sécuriser mon Syno, tout en le laissant branché avec un accès à Internet.

Après bien des échanges, les avis des uns, des autres.

J'ai fini par suivre l'avis de Michel, qui me conseillait de rajouter derrière mon Modem Routeur (qui n'a pas de Firewall), de rajouter donc : un Routeur qui intègre des fonctions de FireWall.

C'est ce que j'ai fait. J'ai opté pour routeur Netgear Prosafe qui intègre des fonctions de Firewall et de VPN (ce qui me sera utile ultérieurement).

Merci à tous pour vos infos, vos conseils, qui m'ont bien aidés à résoudre ce petit problème.

Olivier Jick

[RonanKER]

Bonjour à tous,

je vois que mes questions sur la sécurité ont fait couler "beaucoup d'encre".

Petit rappel de ma problèmatique :

1. - J'ai acheté il y a 15 jours, un Syno 207+ : mon premier NAS perso.

2. - je dispose d'un modem routeur Netgear CVG 834 G, qui m'a été fourni par mon FAI (Numéricable).

3. - Ma question de départ était :

Comment je peux faire pour sécuriser mon Syno, tout en le laissant branché avec un accès à Internet.

Après bien des échanges, les avis des uns, des autres.

J'ai fini par suivre l'avis de Michel, qui me conseillait de rajouter derrière mon Modem Routeur (qui n'a pas de Firewall), de rajouter donc : un Routeur qui intègre des fonctions de FireWall.

C'est ce que j'ai fait. J'ai opté pour routeur Netgear Prosafe qui intègre des fonctions de Firewall et de VPN (ce qui me sera utile ultérieurement).

Merci à tous pour vos infos, vos conseils, qui m'ont bien aidés à résoudre ce petit problème.

Olivier Jick

Salut, tout comme toi j'ai investi le meme syno et pris numericable :-) à peu près à la meme periode... sauf que je me suis pas posé toutes ces questions... j'avais les réponses.

pour compléter un peu le sujet, je vais préciser quelques trucs...

on peut considérer tout routeur comme un firewall en soi... http://fr.wikipedia.org/wiki/Firewall

mais evidemment il y a différents niveaux...

le CVG834G (30M) et le CBVG834G (100M) de Numericable ont une fonction firewall avancé mais elle est desactivé par défaut... pour le CVG834G je connais pas en détail, mais pour le CBVG834G on peux l'activer dans le menu opérateur (à condition d'avoir les login/mot de passe de ce mode... MSO / 135naBle)

note que sur le firmware actuel du CBVG834G le firewall se desactive à chaque reboot du modem (devrait etre corrigé à la prochaine mise à jour)

Pour la sécurité vis-à-vis des chevaux de troie, il ne faut pas activer UPNP. dès lors que le modem bloque UPNP, tu peux l'utiliser sur le reseau local... mais est-ce bien utile ? le plus sur est de le désactiver partout.

Si tu souhaite mettre un dyndns, le syno peux le faire, ensuite c'est sur le 834G que tu redirige les ports vers le syno ou autres... pour pouvoir rediriger le port il faut dabord aller dans 'gestion à distance et changer le port pour n'importe quel autre qui derange pas... meme si la gestion à distance est desactivée.

(comme dit precedemment, le syno doit etre en IP fixe en dehors de la plage DHCP)

perso mon pc (portable) bouge bcp donc je garde un firewall logiciel dessus (Kerio Pro) et evidemment un anti-virus (Avast Pro), et j'encourage tout le monde à payer ses licences car c'est pas cher et ça vaut le coup (Avast Home peut suffire et c'est gratuit)

perso, si un jour je vx un vpn (mais pour linstant je m'en passe) je chercherai à installer Hamachi sur le syno en ssh en suivant les conditions d'installation de logiciel tiers ou alors si je trouve quelqu'un qui aura fait un module pour l'ajouter. (j'utilise déjà Hamachi entre de nombreux PC pour faire du jeux réseau et aussi pour la maintenance informatique à distance de PC d'amis/famille)

pour info Voici ce que propose le firewall du 834G :

Fonctions de pare-feu Activer N

Passage d'IPSec Activer O

Passage de PPTP Activer O

Multidiffusion Activer O

Fonctions Web :

Filtrer le proxy Activer N

Filtrer les cookies Activer N

Filtrer les applets Java Activer N

Filtrer ActiveX Activer N

Filtrer les fenetres contextuelles Activer N

Bloquer les paquets IP fragmentes Activer N