Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

Concernant PhotoStation, il gère ses propres comptes, ses propres autorisations et ses propres droits sans entrer dans le DSM... mais tout ça en ayant accès au contenu du NAS (en tout cas du dossier /photo et de quelques fichiers de configuration j'imagine).

Est-ce que la sécurisation complète de l'accès au DSM décrite dans ce tuto ne laisse pas une porte ouverte sur toute la partie PhotoStation, via l'application elle-même et son port 80 ouvert ?

Lien vers le commentaire
Partager sur d’autres sites

sécurité des accès physique :

  • reste à gérer la problématique des vols,

Sur ce point de détail : en cas de vol du boitier physique, on est bien d'accord qu'un simple appui de 4sec remet en place le compte admin, et donne un accès libre à tout le contenu du NAS ?

C'est pratique pour se sauver la mise après une fausse manip dans le pare-feu, mais théoriquement il faudrait enfermer son NAS dans un coffre-fort pour mettre à l'abris des données sensibles ?

 

Lien vers le commentaire
Partager sur d’autres sites

Je précisais ce point de détail car en lisant votre introduction je pensais aux ravages de l'effet iPhone (pas de mode d'emploi et faux sentiment de sécurité). Sur ce type d'appareil, en cas de perte ou de vol, il n'y a pas de bouton reset et un voleur qui ne sort pas du M.I.T. ou de l'EPITA aura difficilement accès au contenu. Il fera éventuellement un reset mais les selfy tout-nu-dans-la-salle-de-bain ne finiront pas sur le net...

Pour un NAS Syno je dis "attention", un voleur mal attentionné aura un accès complet à vos données simplement en appuyant 4sec sur "Reset".

Donc il faut penser au chiffrage, c'est vrai.

 

Modifié par Jérôme_D
Lien vers le commentaire
Partager sur d’autres sites

Après il y a toujours possibilité de mettre un verrouillage physique sur le nas, à moins d'endommager le nas pour l'avoir, il restera fixé (j'aimerais bien voir un test sur la résistance d'ailleurs), cela lui fera perdre de la valeur et fera tiqué un futur acheteur si cette zone de verrouillage est morte...

Moi je chiffre tous les dossiers sur mon nouveau synology, cela n'a aucun impact sur ses performances.

Lien vers le commentaire
Partager sur d’autres sites

il y a 33 minutes, Einsteinium a dit :

Moi je chiffre tous les dossiers sur mon nouveau synology, cela n'a aucun impact sur ses performances.

Vraiment ? Le CPU et la mémoire ne saturent pas un instant ? Aucun ralentissement ? (à détailler dans un autre sujet pour éviter le HS je pense).

Lien vers le commentaire
Partager sur d’autres sites

Équipé de la puissante CPU quadruple cœur Intel Pentium et du moteur de chiffrement matériel AES-NI, le DS916+ offre une excellente vitesse de plus de 225 Mo/s en lecture et plus de 209 Mo/s1 en écriture, livrant ainsi une performance étonnante et une expérience utilisateur plus productive.

Et non le proco et la ram ne bronche pas ;-)

edit : je le fessais déjà avec mon 413J au passage ;-) (certes cela fait bizarre niveau débit xD)

Lien vers le commentaire
Partager sur d’autres sites

Bonjour

Le Pare-feu m'empêche de saisir une plage d'IP, la borne sup est rouge... "Valeur incorrecte".

Il refuse les 255, je plafonne à 223...

Une idée ?

Autre question : mon réseau local est en 192.168.1.x, donc j'imagine que je transforme tous les .0. par des .1. dans les préconisations du tuto ?

Désolé si la question est trop simple...

 

Edit : question déjà posée désolé... réponse : "il ne s'agit pas de plages d'adresses mais de sous réseaux. "

En DSM 5 la fenêtre est différente de celle du tuto, désolé.

 

Modifié par Jérôme_D
Lien vers le commentaire
Partager sur d’autres sites

Pour la plage d'ip, c'est que tu te trompes de champs, il faut choisir Subnet (sous réseau) et pas IP Range (plage d'ip)

Pour les adresses, dans mon tuto j'ai indiqué 192.168.0.0/16 (/16 <=> 255.255.0.0), ça englobe donc les adresses de 192.168.0.0 à 192.168.255.255

Les adresses en 10/8, 172.16/12 et 192.168/16 sont des adresses privées, donc elles ne peuvent pas venir d'Internet

=>suis mes recommandations, elles fonctionneront dans 99% des cas, même si tu change de FAI

Lien vers le commentaire
Partager sur d’autres sites

Il y a 17 heures, Fenrir a dit :

 

=>suis mes recommandations, elles fonctionneront dans 99% des cas, même si tu change de FAI

C'est bien ce que je fais, le plus consciencieusement possible. Mais parfois effectuer une tâche sans la comprendre dans les grandes lignes conduit à des questions dans ce style... Pas évident tout ca sans réelle formation.

Pour les proxy et reverse proxy tu envisages un tuto ? Ce serait super ! :mrgreen:

Lien vers le commentaire
Partager sur d’autres sites

Oui, il est important de comprendre, c'est pour ça que je t'ai rappelé qu'ils s'agissait d'adresses privées, donc sans risque dans la plupart des cas, par contre, pour détailler plus il faudrait que je fasse un cours réseau, ce qui n'est pas le but. Tu peux aller lire ça par exemple :

Pour le reverse proxy, j'en parle déjà dans le tuto (vers la fin), si tu as des besoins plus complexes, j'avais mis le lien vers un tuto plus avancé, je te le remets ici  :

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Tout d'abord, un tout grand merci pour ce tuto.

J'aimerais, si possible, avoir plus de precisions concernant le fonctionnement du "reverse proxy" à travers le "Portail des applications".

Voici ce que j'ai fait :

1. j'ai ouvert dans mon routeur les ports 80 et 443 en les redirrigeant vers l'adresse du serveur: 172.16.xxx.xxx:PORT_DEFAUT_DSM
2. j'ai ensuite configure comme dans le tuto les applications avec un port par défaut : exemple : calendrier HTTP 7180/HTTPS 7143
3. dans reverse proxy :j'ai mis en source : https://cal.xxxxx.xx destination: http://localhost:7180

Quand je vais sur l'adresse http://172.16.xxx.xxx:7180 ou https://172.16.xxx.xxx:7143 j'arrive bien sur l'application calendrier. Par contre quand je tape : https://cal.xxxx.xx il me dirige vers le DSM

Le nom de domaine est enregistré chez gandi qui pointe vers mon ip publique.

Quels mauvaises manipulations suis-je en train de faire ?

Merci

Lien vers le commentaire
Partager sur d’autres sites

Ton erreur est sur le premier point, tu indiques :

  1. transfert des ports 80 et 443 vers le port 5000 (ou 5001) => ?? ce n'est pas logique, mais voyons la suite
  2. appli configurée pour écouter sur les ports 7180 et 7143 => ok
  3. reverse proxy qui indique : ce qui arrive sur le port 443 (https) doit obtenir le contenu de ce qui écoute sur le port 7180 => ok

Je ne sais pas si tu vois ton erreur, donc dans le doute, c'est le point 1 :

  • si tu veux qu'en allant sur le port 443, le reverse proxy soit contacté, il faut que tu configures ta box pour le faire

=>

Le 03/05/2017 à 22:23, danielpm83 a dit :

1. j'ai ouvert dans mon routeur les ports 80 et 443 en les redirrigeant vers l'adresse du serveur: 172.16.xxx.xxx:PORT_DEFAUT_DSM 80

Le 03/05/2017 à 22:23, danielpm83 a dit :

1. j'ai ouvert dans mon routeur les ports 80 et 443 en les redirrigeant vers l'adresse du serveur: 172.16.xxx.xxx:PORT_DEFAUT_DSM 443

(tu peux faire les 2 règles, ou seulement la 2nde, mais ne redirige pas 2 ports vers un seul port)

Modifié par Fenrir
Lien vers le commentaire
Partager sur d’autres sites

Le 16/03/2017 à 20:47, Fenrir a dit :

...

Pour CloudStation, je pense que oui, mais ce n'est pas simple car le client tente par défaut le port 6690.

Le seul moyen de savoir c'est de tester.

Bonjour, j'ai fait le test et cela ne fonctionne pas, même en indiquant un numéro de port. J'ai fait un test avec un site présent de reverse proxy pointant sur un autre port et cela ne fonctionne pas, normal, mais le message d'erreur est très intéressant il me dit que le site est déjà utilise dans mon client est que je doit utilisé celui qui existe déjà ... J'ai regardé dans la config du client windows (C:\Users\xxxxx\AppData\Local\CloudStation\data\db\sys.sqlite) et j'ai découvert que le site est bien indiqué mais que l'IP numérique est indiqué. Je parie que le client l'utilise l'adresse IP numérique pour faire la connexion.

Modifié par bugs denis
Lien vers le commentaire
Partager sur d’autres sites

 

Bonjour,

Dans la suite de le mise en place de ton tuto sur mon NAS, j'en suis maintenant à regarder un peu plus en détails la configuration du pare-feu Synology.

Une ligne me pose question : c'est celle avec l'ouverture des ports 80,443 de part l'IP source 192.0.2.3 que je suppose être l'adresse de ton NAS (voir explication fenrir plus bas).

Le 01/12/2016 à 19:33, Fenrir a dit :

 

 

Voici un exemple plus complet :

s14.png

En plus des réseaux locaux (ou privés), j'autorise les services suivants :

  • ports TCP 80 et 443 depuis l'adresse 192.0.2.3

 

 

Étant donné que j'utilise le reverse proxy, j'ai ouvert sur mon routeur (Edgerouter d'Uiquiti) le port 443. Mais dans le pare feu du NAS, pour que cela fonctionne je dois aussi ouvrir le port 80 et 443 à l'extérieur (La Belgique dans mon cas?), est-ce correct? Car si j'ouvre ce port uniquement à mon serveur NAS... cela ne fonctionne pas.

Peux-tu m'éclairer à ce sujet?

Merci

Modifié par danielpm83
mise en page
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Fenrir,

 

Merci pour ce tuto, très clair et qui va plus loin que ce que j'avais déjà vu comme Ici

J'ai quelques questions car tout n'est pas très clair pour moi, si je peux me permettre à quoi correspond l'adresse 192.0.2.3 dans la liste des règles du firewall du NAS?

S'agit-il d'une machine spécifique dans ton réseau pour l'administration du NAS ou celle du NAS lui même?

Concernant les Certificats avec Let's Encrypt, j'ai beau essayer le NAS me donne une erreur justement sur le port 80, qui d'après ce que je peux voir est ouvert sur le routeur (Asus RT-AC66U sous DDWRT) et au niveau de la Freeboite. Une idée d’où peut venir le problème?

Pour la partie VPN, utilises tu un 1 seul VPN pour accéder au NAS de type VyperVPN ou autre ou est-ce que tu utilise le VPN "de base" de ta machine pour y accéder depuis l’extérieur; je pense que c’est la seconde mais je préfère demander pour m'en assurer, j'ai vu que tu as fait un topic au sujet du VPN mais pas encore eu le temps de le lire.

Merci d'avance.

Cdlt,

Al

Il y a 3 heures, danielpm83 a dit :

 

Bonjour,

Dans la suite de le mise en place de ton tuto sur mon NAS, j'en suis maintenant à regarder un peu plus en détails la configuration du pare-feu Synology.

Une ligne me pose question : c'est celle avec l'ouverture des ports 80,443 de part l'IP source 192.0.2.3 que je suppose être l'adresse de ton NAS.

Étant donné que j'utilise le reverse proxy, j'ai ouvert sur mon routeur (Edgerouter d'Uiquiti) le port 443. Mais dans le pare feu du NAS, pour que cela fonctionne je dois aussi ouvrir le port 80 et 443 à l'extérieur (La Belgique dans mon cas?), est-ce correct? Car si j'ouvre ce port uniquement à mon serveur NAS... cela ne fonctionne pas.

Peux-tu m'éclairer à ce sujet?

Merci

Il semblerait que je n'étais pas le seul à me poser la question!:biggrin:

Modifié par aldiallo-Syno
Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, danielpm83 a dit :

 

Bonjour,

Dans la suite de le mise en place de ton tuto sur mon NAS, j'en suis maintenant à regarder un peu plus en détails la configuration du pare-feu Synology.

Une ligne me pose question : c'est celle avec l'ouverture des ports 80,443 de part l'IP source 192.0.2.3 que je suppose être l'adresse de ton NAS.

Étant donné que j'utilise le reverse proxy, j'ai ouvert sur mon routeur (Edgerouter d'Uiquiti) le port 443. Mais dans le pare feu du NAS, pour que cela fonctionne je dois aussi ouvrir le port 80 et 443 à l'extérieur (La Belgique dans mon cas?), est-ce correct? Car si j'ouvre ce port uniquement à mon serveur NAS... cela ne fonctionne pas.

Peux-tu m'éclairer à ce sujet?

Merci

Je viens de commencer à lire le Tuto sur le DNS Server et dans les notes l'adresse 192.0.2.3 est désignée comme étant l'IP publique, je me demande si c'est bien le cas ici aussi.:question:

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.