[TUTO] Sécuriser les accès à son nas - DSM 6.x

[unPixel]

La dernière règle (la plus importante) sert à interdire en effet tout ce qui n'est pas autorisé au dessus de cette règle.

[Mic13710]

Les règles sont lues de la première à la dernière. Tant qu'une règle n'est pas applicable, le parefeu continu la lecture, jusqu'à la dernière règle. Si cette dernière ne bloque pas tout le trafic, alors le parefeu laissera passer tout ce qui n'a pas été autorisé précédemment. D'où l'importance de cette dernière règle. D'où l'importance aussi de placer les nouvelles règles AVANT celle-ci, faute de quoi elles ne seront pas lues.

[Dimebag Darrell]

Merci beaucoup pour les informations

[Chris_B]

Bonjour, 

Merci pour le tuto mais je dois bien admettre que je nage complètement.

1. qu'est ce qui fait que le NAS est accessible depuis l'extérieur ? Pour l'instant quand je veux utiliser une iApp sur IOS depuis l'extérieur, je n'ai pas d'accès.
2. je n'ai pas ouvert de port et pourtant quand je fais un scan sur l'IP du NAS, depuis mon mac sur le même réseau donc, j'ai ces ports qui apparaissent comme ouvert. Est-ce bien raisonnable et utile : 

   Open TCP Port: 80     http

   Open TCP Port: 443    https

   Open TCP Port: 548    afpovertcp

   Open TCP Port: 1852   virtual-time

   Open TCP Port: 3261   winshadow

   Open TCP Port: 3263   ecolor-imager

   Open TCP Port: 3264   ccmail

   Open TCP Port: 3493   nut

   Open TCP Port: 3689   daap

   Open TCP Port: 4662   oms

   Open TCP Port: 5000   commplex-main

   Open TCP Port: 5001   commplex-link

   Open TCP Port: 5566   udpplus

   Open TCP Port: 6011

   Open TCP Port: 6690

   Open TCP Port: 32400

   Open TCP Port: 32469

   Open TCP Port: 49170

   Open TCP Port: 50001

   Open TCP Port: 50002

Merci d'avance pour votre aide précieuse !

 

 

[unPixel]

Je suis pas un expert en réseau mais je ne pense pas que ce soit la bonne méthode que de tester l'ouverture de ses ports sur le même réseau.

A confirmé par un connaisseur...

[Mic13710]

il y a 9 minutes, Chris_B a dit :

qu'est ce qui fait que le NAS est accessible depuis l'extérieur ?

Les ports externes redirigés vers le NAS.

Et pour les ports ouverts du NAS, si vous avez bien rempli le parefeu avec les règles de base, c'est tout à fait normal puisque ces premières règles autorisent tout le trafic sur votre réseau privé sans restriction.

[Chris_B]

Donc ces ports sont ouverts uniquement en interne ?

Je n'ai rien ouvert pour l'instant dans le router.

J'ai juste activer le parefeu mais je n'y ai pas saisi de règles.

Modifié le 2 avril 2018 par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension

[Mic13710]

Si vous n'avez aucune règle, c'est open bar : tout passe, mais seulement en interne puisque vous n'avez pas encore ouvert de port dans votre routeur.

[Chris_B]

En fait dans le parefeu le profil est celui par defaut. Ce qui explique, j'imagine, tous ces ports ouverts ?

 

Ce que je comprends pas dans le tuto des règles c'est :

1. à quoi correspondent dans mon réseau les adresse ip 10.0.0.0, 172.16.0.0 et 192.168.0.0 ? Cela comprend automatiquement les ip suivantes ?
2. pourquoi les ports sont sur TOUS ?

[Mic13710]

Il n'y a pas de profil par défaut. La liste est vide au départ. S'il y a des règles enregistrées, c'est que vous avez installé des paquets qui ont eux mêmes créé leurs règles.

Tous les ports sont ouverts parce que vous n'avez pas encore mis de règle de blocage. Relisez le tuto de Fenrir sur ce point.

[Chris_B]

Effectivement, quand je clique sur editer le profil, c'est vide

 

Modifié le 2 avril 2018 par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension

[Mic13710]

@Chris_B merci de ne pas répéter inutilement le message précédent. Est-ce que dans la vie de tous les jours vous répétez la question de votre interlocuteur avant de répondre ?

[Chris_B]

Dans les règles, si je n'utilise que le range 192, est-ce que je peux laisser tomber les 2 autres règles 10 et 172 ?

[unPixel]

Oui mais si un jour tu changes la plage d'ip dans ton routeur ou via une box alors tu devras penser à rajouter la bonne.

Modifié le 3 avril 2018 par InfoYANN

[Chris_B]

oui bien sur

c'est pour comprendre le fonctionnement

Modifié le 3 avril 2018 par Chris_B

[unPixel]

Disons que Fenrir a fait le tuto large pour "tout le monde" et toutes les plages possibles. Au moins un débutant est sûr d'avoir la bonne plage d'autorisé et ne se pose pas la question de savoir si il aura la même configuration que son routeur.

[Chris_B]

oui oui et c'est bien comme ça 

C'est juste pour que je comprenne bien. J'ai toujours eu de la peine avec la partie réseau et firewall...

C'est le subnet mask qui définit le range d'une adresse ip ?

[unPixel]

Là, je laisserai répondre les experts

[ptitnux]

Bonjour, 

 

merci @Fenrir pour ce tutoriel très bien documenté et digest à lire est à appliquer.
je suis plus serein à présent :) surtout depuis que j'ai déplacé mon NAS sur un reseau classique ( ancien sur rooteur 4G ) 

[Brenac]

merci @fenrir pour ce tuto. j'ai pas tout pris en compte mais c'est bien de passer les themes /zone de paramétrage en revue et de se reposer les bonnes questions avec 'security' en tete. .

[Jojo (BE)]

Le 01/12/2016 à 19:33, Fenrir a dit :

Un petit menu que beaucoup oublient de configurer, il n'est pas obligatoire et pas lié (pas directement du moins) à la sécurité mais ça permet d'éviter de chercher des heures la raison pour laquelle un lien de partage (par exemple) ne fonctionne pas.

Attention, il faut vider ces champs si vous utilisez des noms de domaine ou des ports spécifiques (portail des application, reverse proxy, ...).

 

Salut,
Je viens d'activer mon reverse proxy (ça fonctionne pico bello 😉 )et pour le partage j'ai donc appliqué la recommandation de vider ces champs.
Et bien chez moi, le partage ne fonctionn eplus.
Mais en mettant dans le <Nom d'hôte ou IP statique> la valeur que j'ai entrée dans mon reverse proxy pour accéder à mon DSM ça fonctionne.

Serait-ce lié aux dernières mises à jour de DSM ?

[Mic13710]

Il faut bien que ces champs soient remplis pour pouvoir créer des liens de partage.

Perso, mes infos sont les suivantes :

file.mondomaine

http : 80

https : 443

Ainsi, mes liens de partage sont sous cette forme : https://file.mondomaine/sharing/blablabla

[Jojo (BE)]

oui, c'est bien ce que j'avais identifié (je n'ai pas du rentrer les ports http et https).

Je le communiquais juste à d'autres pour que ça leur soit utile ...

[Mic13710]

En omettant les ports, ce sont les 5000 et 5001 qui sont utilisés. Comme j'utilise le serveur DNS avec le reverse proxy et que je ne passe que par le 443 pour mes accès externes, ça permet d'avoir des liens de partage plus propres (sans indication de port). Les 5000 et 5001 ne sont utilisés qu'en interne pour accéder au DSM.

[Fenrir]

Il y a tellement de combinaisons de conf (avec ou sans DNS, avec ou sans netbios, avec ou sans reverse proxy, avec ou sans les ports par défaut, avec ou sans QC, avec ou sans VPN, ...) que je ne peux pas gérer tous les cas de figure 😛

=>l'important c'est de comprendre la portée des réglages et de savoir qu'ils existent en cas de problèmes 🙂

Modifié le 25 mai 2018 par Fenrir