Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x

Fenrir

Par Fenrir
dans Tutoriels

 Partager

Messages recommandés

unPixel Newbie

unPixel

Posté(e)
Posté(e) (modifié)

Pour SSH, tu peux simplement modifier le port là ou tu as activé SSH et ça devrait régler le soucis 🙂

Port à ne pas oublier quand tu voudras t'y connecter.

Modifié par InfoYANN
0
  • Réponses 1.1 k
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

Fenrir
Fenrir

Note du 08/10/2023 Ce tuto a été créé sous DSM 6.x et doit être appliqué par les utilisateurs utilisant cette version. Néanmoins, bien qu'il soit toujours d'actualité, certaines sections de

PiwiLAbruti
PiwiLAbruti

fc00::/7 est l'équivalent IPv6 de 10/8, 172.16/12 et 192.168/16, donc dédié aux réseaux privés non-routables sur internet. C'est un préfixe que tu ne rencontreras probablement jamais étant donné

Fenrir
Fenrir

Oui, mais ça sort un peu du cadre du tuto. Le fait qu'un port ou 40 soient ouverts ne change pas grand chose niveau sécurité, par contre niveau confort le reverse proxy est un plus (en entreprise

Images postées

Invité Ric67

Invité Ric67

Posté(e)
Posté(e)
Le 16/06/2018 à 12:53, InfoYANN a dit :

Pour SSH, tu peux simplement modifier le port là ou tu as activé SSH et ça devrait régler le soucis 🙂

Port à ne pas oublier quand tu voudras t'y connecter.

Hello,

Pour le port, par défaut il est indiqué 22. Il faudrait que j'indique un numéro de port au pif, ex. 23 et le tour est joué?

Pourquoi le port 22 pose problème?

0
unPixel Newbie

unPixel

Posté(e)
Posté(e)

Bonjour,

Ce n'est pas qu'il pose problème, c'est que c'est le port par défaut donc connu de tous pour le protocle SSH. Comme pour FTP, c'est 21, https c'est 443 etc et le conseiller de sécurité n'aime pas trop ça et c'est d'ailleurs aussi pour ça qu'il y a cette possiblité de le modifier.

Par contre, tu peux utiliser le port que tu veux mais il faut t'assurer qu'il ne sert pas déjà pour une autre fonction, un service ou un protocole. 23 est par exemple utilisé pour Telnet si je ne dis pas de bêtises...

Après, point de vue sécurité, c'est pas spécialement top du top de modifier un port parce que si on scanne ton IP, on peut connaître les ports ouverts.

0
Invité Ric67

Invité Ric67

Posté(e)
Posté(e)
il y a 54 minutes, InfoYANN a dit :

Après, point de vue sécurité, c'est pas spécialement top du top de modifier un port parce que si on scanne ton IP, on peut connaître les ports ouverts.

je comprends donc qu'il vaut mieux ne pas activer le SSH car si je modifie le port il est ouvert et crée une brêche du point de vue sécurité...je me trompe?

0
unPixel Newbie

unPixel

Posté(e)
Posté(e)

Je n'ai pas dit ça. En faite, tu peux changer le port mais il n'est pas spécialement recommandé de l'ouvrir sur internet.

Port NAS SSH ouvert : OK

Port routeur SSH ouvert : NON

0
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

En clair, il ne sert pratiquement à rien de modifier les numéros de ports par défaut car ça ne ralentirait que de quelques secondes un bon hacker et que ça complique l'utilisation du NAS. Perso j'ai gardé tous les ports par défaut du NAS dont le 22.

Ce qui est infiniment plus important, c'est de n'ouvrir vers l'extérieur que les ports réellement utiles et de les sécuriser au maximum. Par exemple, je n'ouvre pas le 5001 (et encore moins le 5000) vers l'extérieur, ni même les autres ports (file station, video station etc...). Avec un seul port (le 443), un NDD et le reverse proxy, j'accède à tout. Et pour ce qui est du 22, on ne l'ouvre pas dans le routeur ce qui supprime de facto toute tentative d'attaque extérieure sur ce port.

0
Invité Ric67

Invité Ric67

Posté(e)
Posté(e)

OK. La modification de port du SSH n'était prévue que sur le NAS pas sur le routeur.

Par contre si je laisse sur le port par défaut à savoir le 22, j'ai un message  de risque du conseiller de sécurité, cf. captures en haut de cette page.

0
unPixel Newbie

unPixel

Posté(e)
Posté(e)

Dans ce cas, tu as deux solutions :

  1. Tu changes le port (chacun son point de vue sur ce cas même si ça arrêtera pas un bon hacker)
  2. Tu décoches la règle concernant la vérification du port SSH dans le conseiller de sécurité.

Dans les deux cas, tu n'auras plus l'alerte !

0
Brunchto Contributor

Brunchto

Posté(e)
Posté(e)

pour la partie blocage d'IP, j'ai augmenté la durée (1200mn). J'ai remarqué que, sur mon syno, les tentatives d'authentification se passaient sur de longues périodes, avec parfois 3 ou 5 mn entre chaque tentative de la même IP, et ce pendant plusieurs jours.

0
Brunchto Contributor

Brunchto

Posté(e)
Posté(e) (modifié)

yes, dans les journaux. des tentatives de connexions continuelles depuis de multiples adresses. mais à des intervalles de plusieurs minutes pour les mêmes adresses.

Modifié par Brunchto
0
unPixel Newbie

unPixel

Posté(e)
Posté(e)

Ok. Moi, je n'ai plus de tentatives de connexion depuis un moment. Sauf avec mon serveur mail ou des robots tentent régulièrement de se servir de mon serveur smtp.

0
PiwiLAbruti Veteran

PiwiLAbruti

Posté(e)
Posté(e)

Le blocage automatique est indispensable pour ceux qui exposent leur serveur SMTP.

J'ai également beaucoup de tentatives d'authentification qui sont bloquées (2 par jour en moyenne avec une rétention de 3 mois).

0
StéphanH Proficient

StéphanH

Posté(e)
Posté(e) (modifié)

Bonjour,

Une question concernant le paramétrage du Firewall pour IPv6 :

lorsque je me connecte depuis  mon LAN sur mon DS718+, les Log du NAS indique que l'IPv6 publique de mon MAC s'est connectée.

Du coup,  je ne comprends pas dans quel cas l'adresse en fe80:: est utilisée ...

une idée ?

Seconde question :

Mon DS218+ est derrière un routeur 3G SFR (le réseau mobile SFR n'est pas encore en IPv6). Lorsque je me connecte via Quickconnect à ce NAS depuis mon iPhone (qui est configuré en IPv6 sur le réseau 4G Orange), mon NAS log l'IPv6 de mon iPhone. Le relai Quickconnect encapsule de l'IPv6 dans du v4 ???

Et troisième question :

J'ai un gros doute sur le fait qu'une règle sur une sélection de pays fonctionne en IPv6. Concrètement, je n'arrive pas à distance (connecté en IPv6) à modifier les règles du pare-feu. Il me dit que la modif ne permet pas ma connexion actuelle.

Comment puis-je confirmer / infirmer cela ?

Modifié par StéphanH
0
  • 2 semaines après...
ers31 Apprentice

ers31

Posté(e)
Posté(e)

Bonjour, j'écris ce message pour me faire taper sur les doigts 🤣

J'avais suivi le tuto lors de l’installation du NAS, mais je n'ai jamais fini la partie accès à distance au NAS via un VPN... ou en SFTP...

Bon, Orange m'a changé la livebox du bureau sans ma présence. Je n'arrive pas à me rappeler des règles que j'avais sur ma box...

J'ai bien changé le login / mot de passe admin admin qu'ils avaient laissé...

Sur la box voici ce que j'ai :

Capture31.PNG.0c3d7ccccc2c5f263f4b7753392baaee.PNG

Et voici ce que j'ai en config sur le NAS :

Capture32.thumb.PNG.986fb650fff6a1901dd26d3f579ada1e.PNG

Capture33.thumb.PNG.2c3ec9fdbd9ec2edb5972a9b55cdf4c3.PNG

Dois je laisser la règle du PORT 22 sur ma livebox ? (l'IP 192.168.0.3 est bien celle du NAS).

Merci pour votre aide car j'avoue être largué, et ne pas avoir le temps de tout relire...

0
Pascalou59 Community Regular

Pascalou59

Posté(e)
Posté(e)

Bonjour

Pourquoi vouloir ouvrir la boite de Pandore .....port 22 ...ssh . Tu exposes ton Nas au monde extérieur

1
ers31 Apprentice

ers31

Posté(e)
Posté(e)

Bonjour je ne sais pas à quoi sers le SSH, je vire donc la règle de redirection de la box, par contre je laisse bien le SSH activé sur le NAS ça peut servir en local en cas de panne non ?

0
unPixel Newbie

unPixel

Posté(e)
Posté(e) (modifié)

En effet. Tu coupes juste l'accès à SSH depuis l'extérieur pour éviter d'être piraté par cette porte ouverte qui en plus ne t'est pas utile. Donc tu fais tout ce que tu as écrit 🙂

Modifié par InfoYANN
1
Jojo (BE) Newbie

Jojo (BE)

Posté(e)
Posté(e)
Il y a 3 heures, ers31 a dit :

Bonjour je ne sais pas à quoi sers le SSH, je vire donc la règle de redirection de la box, par contre je laisse bien le SSH activé sur le NAS ça peut servir en local en cas de panne non ?

de mémoire (je n'ai pas accès en admin à mon Syno depuis le boulot), mais tu as besoins de cette redirection si tu fais des backups distants avec HyperBackup

0

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.