PiwiLAbruti Posté(e) le 15 avril 2021 Partager Posté(e) le 15 avril 2021 L'adresse que tu as saisie sur ces sites (pentest-tools.com et intruder.io) est celle permettant d'accéder à DSM. Le code source de la page contient tout ce qu'il faut pour identifier un NAS Synology. Tu ne pourras pas l'empêcher tant que ces sites pourront accéder aux services de ton NAS. Je ne parle pas de tout fermer mais de n'ouvrir que ce qui est nécessaire. Ça évite bien des problèmes comme l'identification du NAS sur des sites. Donc la question est simple : Est-ce que le fait de n'ouvrir le NAS qu'aux adresse IP Françaises (par exemple) restreint l'utilisation de ton cloud privé ? 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 15 avril 2021 Partager Posté(e) le 15 avril 2021 Merci @PiwiLAbruti pour ton retour, Non ça ne restreint pas trop l'utilisation de mon NAS, sauf quand je suis à l'étranger (en cette période, j'avouerai que c'est plus trop tendance!!!) La question a le mérite d'être posée en effet. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 15 avril 2021 Partager Posté(e) le 15 avril 2021 Rien ne t'empêche d'ajuster les règles lorsque tu en as besoin (ajoute par exemple tous les pays où tu vas régulièrement). Ça permet de réduire drastiquement les tentatives de découverte de services (portscan) et toutes les attaques qui peuvent en découler. Les sites que tu citaient précédemment ne pourront même plus accéder à ton NAS et encore moins l'identifier. Pour en revenir à l'aspect sécurité, je ne sais pas s'il est pertinent de faire un test d'intrusion en ligne par un site Roumain (pentest-tools.com). 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 17 avril 2021 Partager Posté(e) le 17 avril 2021 @MilesTEG1 & @PiwiLAbruti En tout cas merci pour les remarques et les clarifications 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TuringFan Posté(e) le 1 mai 2021 Partager Posté(e) le 1 mai 2021 Bonjour à tous, Ce fil est pour moi "la référence" pour sécuriser son NAS et je souhaiterais vous soumettre deux questions à ce sujet. Je suis en train de réfléchir à la stratégie de sauvegarde que je vais adopter (c'est après tout la meilleur des protections). Pour le moment j'envisage de (i) effectuer des snapshots de mon NAS et (ii) utiliser hyper backup pour effectuer des sauvegardes chiffrées vers un NAS secondaire sur un site distant. Ma première question est : comment est géré le chiffrage ? Mon NAS principal chiffre déjà ses dossiers partagés, dans ce contexte est-il utile d'utiliser un chiffrement du transfert hyper backup voire même un chiffrement des dossiers partagés sur le NAS secondaire ? Si oui, quels clés utiliser pour lire les infos sauvegardées. Ma seconde question est : comment protéger l'accès à mon NAS secondaire ? J'aurai en effet peu de contrôle sur les accès physiques potentiels au NAS du second site (site de backup). Dans ce cas comment empêcher un accès à mon NAS secondaire par quelqu'un qui se brancherait directement dessus ou sur le même réseau (en RJ45 par exemple) ? Le fait de désactiver tous les services fichier est il suffisant ? Qu'en est il pour les services "Bonjour", SSDP, WS-Discovery (je ne maitrise pas leur utilisation) ? Merci par avance, 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 3 mai 2021 Partager Posté(e) le 3 mai 2021 Ce n'est pas le sujet de ce topic qui traite de la sécurité réseau, il vaut mieux traiter cette question dans un autre/nouveau sujet. Tu peux bloquer le trafic indésirable dans le pare-feu du NAS. La question n'est pas de savoir quelles sources il faut bloquer mais celles qu'il faut autoriser et bloquer tout le reste par défaut. Si j'ai bien compris, il n'y a besoin que d'un accès à DSM et à Hyper Backup pour recevoir les sauvegardes d'un autre NAS ? Le 01/05/2021 à 15:14, TuringFan a dit : Le fait de désactiver tous les services fichier est il suffisant ? Les services qui ne sont pas utilisées doivent être désactivés. Mais ce n'est pas suffisant au niveau sécurité, il faut impérativement configurer un pare-feu en amont et/ou directement sur le NAS. Le 01/05/2021 à 15:14, TuringFan a dit : Qu'en est il pour les services "Bonjour", SSDP, WS-Discovery (je ne maitrise pas leur utilisation) ? Ces services répondront aux sollicitations des sources autorisées dans le pare-feu. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 4 mai 2021 Partager Posté(e) le 4 mai 2021 Bonsoir tout le monde, Une question concernant la configuration de mon pare-feu, J'ai actuellement plusieurs réseaux pour mes différents containers (docker), doivent-ils être indiqué dans mes règles ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeff777 Posté(e) le 4 mai 2021 Partager Posté(e) le 4 mai 2021 (modifié) @Dimebag Darrell Si tu as suivi le tuto de Fenrir sur la sécurisation c'est déjà prévu Edit : Non tu as raison j'ai confondu avec 172.16.0.0 alors je ne sais pas, ta question est pertinente Modifié le 4 mai 2021 par Jeff777 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 4 mai 2021 Partager Posté(e) le 4 mai 2021 Salut @Jeff777 Oui, je l'ai suivi, mais depuis pour être honnête, je n'ai plus adapté mes règles depuis ! Par contre, tout semble fonctionner 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeff777 Posté(e) le 4 mai 2021 Partager Posté(e) le 4 mai 2021 J'ai éditer ci-dessus. Fenrir parle bien du réseau 127.0.0.0/255.0.0.0 dans DNS serveur mais pas pour le pare-feu. 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 4 mai 2021 Partager Posté(e) le 4 mai 2021 A clarifier je pense ! 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 4 mai 2021 Partager Posté(e) le 4 mai 2021 Docker c'est bien 172.16.0.0/255.240.0.0 par défaut, c'est une plage d'IP réservées à des réseaux privés et non routables (publiquement). Le tutoriel prévoit déjà l'ouverture du NAS à ce réseau. 2 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 6 mai 2021 Partager Posté(e) le 6 mai 2021 Le 04/05/2021 à 20:18, .Shad. a dit : Docker c'est bien 172.16.0.0/255.240.0.0 par défaut, c'est une plage d'IP réservées à des réseaux privés et non routables (publiquement). Le tutoriel prévoit déjà l'ouverture du NAS à ce réseau. quand bien même si on utilise 172.167.0.0/255.240.0.0 172.18.0.0/255.240.0.0, 172.22.0.0/255.240.0.0, 172.23.0.0/255.240.0.0 ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 6 mai 2021 Partager Posté(e) le 6 mai 2021 (modifié) 172.16.0.0/255.240.0.0 (ou /12 en CIDR) ça couvre les IP allant de 172.16.0.1 à 172.31.255.254, les réseaux que tu cites n'ont pas de sens, ils en auraient si tu avais mis le bon masque correspondant à ton interrogation : 255.255.0.0 Voir http://jodies.de/ipcalc Modifié le 6 mai 2021 par .Shad. 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 6 mai 2021 Partager Posté(e) le 6 mai 2021 Pour info, j'ai trouvé une application pour superviser ses containers application iOS : dockmon (https://apps.apple.com/us/app/dockmon/id1547863798) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TuringFan Posté(e) le 8 mai 2021 Partager Posté(e) le 8 mai 2021 Le 03/05/2021 à 10:20, PiwiLAbruti a dit : Ce n'est pas le sujet de ce topic qui traite de la sécurité réseau, il vaut mieux traiter cette question dans un autre/nouveau sujet. Tu peux bloquer le trafic indésirable dans le pare-feu du NAS. La question n'est pas de savoir quelles sources il faut bloquer mais celles qu'il faut autoriser et bloquer tout le reste par défaut. Si j'ai bien compris, il n'y a besoin que d'un accès à DSM et à Hyper Backup pour recevoir les sauvegardes d'un autre NAS ? Les services qui ne sont pas utilisées doivent être désactivés. Mais ce n'est pas suffisant au niveau sécurité, il faut impérativement configurer un pare-feu en amont et/ou directement sur le NAS. Ces services répondront aux sollicitations des sources autorisées dans le pare-feu. Merci, Je compte de toute façon appliquer ce tuto pour le NAS dont l'installation d'un pare feu sur un routeur et sur mon NAS mais je pensais justement que le fait d'être sur le même réseau permettait de rentrer de par tous les ports. Je vais créer un sujet. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 8 mai 2021 Partager Posté(e) le 8 mai 2021 il y a une heure, TuringFan a dit : je pensais justement que le fait d'être sur le même réseau permettait de rentrer de par tous les ports. Chaque machine dispose de son propre pare-feu, il est donc possible de restreindre le trafic entrant quelque soit le réseau source, donc y compris le réseau auquel la machine est directement connectée. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Capitaine ad hoc Posté(e) le 8 mai 2021 Partager Posté(e) le 8 mai 2021 Bonsoir, Les captures d'écran ne sont plus disponible sur le tuto ! Avez-vous une idée si c'est possible de les remettres ? Merci. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 9 mai 2021 Partager Posté(e) le 9 mai 2021 Ça arrive quand le serveur d'hébergement de Fenrir est down, ce qui arrive vraisemblablement de plus en plus souvent. @Mic13710 Est-ce qu'il ne serait pas intéressant d'héberger les images du tutoriel directement sur le forum ? D'autant que Fenrir avait donné son feu vert pour les retravailler. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mercié Posté(e) le 9 mai 2021 Partager Posté(e) le 9 mai 2021 Bonjour Fenrir. Je me réfère régulièrement à ton auto pour administrer mon NAS. Merci! Malheureusement, les captures d'écran ont disparu, ce qui complique un peu la compréhension... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Capitaine ad hoc Posté(e) le 9 mai 2021 Partager Posté(e) le 9 mai 2021 Merci @.Shad. pour l'info. J'espère ne rien avoir oublié dans ma config en attendant. Bonne journée. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TuringFan Posté(e) le 9 mai 2021 Partager Posté(e) le 9 mai 2021 Il y a 17 heures, PiwiLAbruti a dit : Chaque machine dispose de son propre pare-feu, il est donc possible de restreindre le trafic entrant quelque soit le réseau source, donc y compris le réseau auquel la machine est directement connectée. Oui pardon, remarque bête. J'ai pour l'instant configuré par défaut un accès full depuis les IP LAN/VPN comme indiqué sur le tuto mais on peut au besoin affiner. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
NiKo_LaKo Posté(e) le 12 mai 2021 Partager Posté(e) le 12 mai 2021 (modifié) Bonjour à tous. @Fenrir ne serait-il pas possible de reformuler cette phrase ? "Pour la dernière option, l'HSTS, ne l'activez que si vous n'accédez jamais à votre NAS autrement qu'en HTTPS" J'ai beau la lire.....je suis sûr de pas la comprendre 😛 Merci pour le tuto en tout cas (déjà fait il y a quelque temps, mais là je vais réinstaller DSM et refaire ce tuto, histoire de partir sur une base propre ;)) Modifié le 12 mai 2021 par NiKo_LaKo 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Capitaine ad hoc Posté(e) le 12 mai 2021 Partager Posté(e) le 12 mai 2021 (modifié) il y a 12 minutes, NiKo_LaKo a dit : Merci pour le tuto en tout cas (déjà fait il y a quelque temps, mais là je vais réinstaller DSM et refaire ce tuto, histoire de partir sur une base propre ;)) Salut @NiKo_LaKo pour le coup j'ai refait mon installation le week-end dernier ! tout est fonctionnel mais j'avais oublié pas mal de choses sur le coup. Un conseil fais des captures d'écrans au maximum de ta configuration (DNS, reverse proxy, ...) ça t'évitera de te poser des questions par moment. La sauvegarde des paramètres n'a pas était très utile je trouve. En tout cas je ne regrette pas ma réinstallation complète. Petite question pour tous au passage... Y a t'il une solution pour ne pas avoir à ouvrir le port 443 dans le pare-feu du nas ? Merci à vous tous. Modifié le 12 mai 2021 par maestro72 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 15 mai 2021 Partager Posté(e) le 15 mai 2021 Hello par ici. Vu que j'avais fait des règles inutiles dans le parefeu de mon routeur Syno, je me dis que ça doit être aussi le cas pour le NAS. Du coup je viens poster ici une capture des règles que j'ai pour le NAS. Dites moi ce qu'il faut virer ou ajouter 😉 Merci d'avance. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.