Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x

Fenrir

Par Fenrir
dans Tutoriels

 Partager

Messages recommandés

Jojo (BE) Newbie

Jojo (BE)

Posté(e)
Posté(e)
il y a une heure, warkx a dit :

Ça n'a pas vraiment de sens pour des élément qui ne bouge pas d'aller interroger régulièrement un serveur tiers pour lui demande son IP qui ne changera jamais (ou presque).

ok, j'ai compris maintenant ta position. N'ayant qu'envron 50 réservations d'IP, ce n'est pas un drame que mon DHCP travaille un peu. Je comprend que si on a 500 réservations, il faille commencer à penser à performences.

0
  • Réponses 1.1 k
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

Fenrir
Fenrir

Note du 08/10/2023 Ce tuto a été créé sous DSM 6.x et doit être appliqué par les utilisateurs utilisant cette version. Néanmoins, bien qu'il soit toujours d'actualité, certaines sections de

PiwiLAbruti
PiwiLAbruti

fc00::/7 est l'équivalent IPv6 de 10/8, 172.16/12 et 192.168/16, donc dédié aux réseaux privés non-routables sur internet. C'est un préfixe que tu ne rencontreras probablement jamais étant donné

Fenrir
Fenrir

Oui, mais ça sort un peu du cadre du tuto. Le fait qu'un port ou 40 soient ouverts ne change pas grand chose niveau sécurité, par contre niveau confort le reverse proxy est un plus (en entreprise

Images postées

Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

Chacun voit effectivement midi à sa porte, et moi je n'en démord pas : IP fixes pour les éléments qui le nécessitent (chez moi, le routeur), le reste en réservation d'IP dans le routeur.

Ces réservations se font hors de la plage DHCP pour tous mes équipements et les équipements nomades de ma famille qui peuvent accéder à mes ressources (NAS, PC, etc...), avec un plan d'adressage que je tiens bien entendu à jour.

La plage DHCP est utilisée uniquement par les invités. Cette plage n'a pas accès à la zone des IP réservées.

Ainsi, tout est centralisé sur le routeur. Si je change la plage DHCP, je n'ai rien à faire sur les équipements. Je ne me pose pas non plus de question pour les équipements nomades qui ont chacun leur IP réservée lorsqu'ils sont chez moi et qui peuvent prendre n'importe quelle IP à l'extérieur. J'aurais tout de même à changer quelques adresses comme par exemple celles du reverse proxy qui pointent vers des équipements externes, mais ça ne représente pas grand chose.

Toujours pour mon cas personnel (mais je soupçonne qu'il est celui de l'immense majorité des utilisateurs), je ne trouve strictement aucun intérêt en tant que particulier d'aller triturer chaque poste pour lui attribuer une IP fixe (au risque de me tromper) alors que le routeur permet de faire la même chose d'une manière beaucoup plus rationnelle et contrôlée à partir d'un seul point, tout en évitant de se tromper dans les attributions et de risquer des conflits. De même pour les serveurs DNS dont les adresses sont parfaitement gérées par le routeur. Le mode DHCP reste pour moi un moyen beaucoup plus souple en utilisation tout en utilisant pratiquement aucune ressource.

0
sam.v.60 Newbie

sam.v.60

Posté(e)
Posté(e)

Bonjour

il y a 31 minutes, Mic13710 a dit :

Ces réservations se font hors de la plage DHCP

Si j'ai compris

adresse début 192.168.0.10

adresse fin 192.168.1.150

Les adresses attribuées sont après 150 dans l'exemple?

0
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

@Sam La Chaux Oui, c'est l'idée (sauf qu'il faut choisir entre 0 ou 1 dans la troisième série :razz:). Mon DHCP démarre à 192.168.x.101 jusqu'à 254. Mes IP réservées de 192.168.x.1 à 100.

@Balooforever Mon NAS fait aussi serveur DNS (voir le tuto de Fenrir et mon retour en page 2), et pourtant je suis en DHCP. Je fais entièrement confiance au routeur pour attribuer l'adresse que j'ai assignée au NAS. Pas de problème jusqu'à présent. Et si un jour pour x raisons le routeur ne marche plus, qu'il y ait une IP fixe ou pas sur le NAS ne changerait rien puisqu'il n'y aurait plus de liaison internet :biggrin:.

0
sam.v.60 Newbie

sam.v.60

Posté(e)
Posté(e) (modifié)
il y a 45 minutes, Mic13710 a dit :

sauf qu'il faut choisir entre 0 ou 1

faute d’inattention

Il y a 3 heures, Mic13710 a dit :

La plage DHCP est utilisée uniquement par les invités. Cette plage n'a pas accès à la zone des IP réservées.

.Je suis désolé, j'essaye de comprendre (j'ai pas le niveau), tu fais quel style de paramétrage pour différencier le local du privé? en dehors de l'attribution des adresses?

Modifié par Sam La Chaux
0
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

Toutes les box ne sont pas capables de gérer des adresses hors de la plage dhcp. Je ne vais pas parler de mon routeur Ubiquiti mais de  ce que j'avais fait dans ma freebox qui sait gérer les IP hors DHCP

Ma FB en 192.168.x.1, la plage DHCP de 192.168.x.101 à 254. Attribution des IP avec les adresses MAC dans la plage 192.168.x.2 à 100. Et pour limiter les accès aux NAS aux seules IP de la plage réservée, ma règle d'autorisation des adresses 192.168.x.x dans le parefeu est limitée aux seules adresses 192.168.x.1 à 192.168.x.100.

0
sam.v.60 Newbie

sam.v.60

Posté(e)
Posté(e) (modifié)

merci, je suppose que la livebox play ne le gère pas?

  Il y a 4 heures, Mic13710 a dit :

Et pour limiter les accès aux NAS aux seules IP de la plage réservée, ma règle d'autorisation des adresses 192.168.x.x dans le parefeu est limitée aux seules adresses 192.168.x.1 à 192.168.x.100.

C'est encore du chinois pour moi. Je vais y arriver :)

Modifié par Sam La Chaux
0
Synapso Newbie

Synapso

Posté(e)
Posté(e)

Bonsoir et merci pour ce tuto.

Je l'ai suivi à la lettre et je rencontre maintenant des problèmes que je n'avais pas auparavant et je pense que c'est dû aux règles mises dans le pare-feu.

Voici les nouveaux problèmes que je rencontre et que j'aimerais résoudre :

- Je ne peux plus recevoir de mails de notifications ;

- VideoStation ne peux plus télécharger les informations de mes vidéos. L'indexation ne fonctionne plus;

- La recherche de mise à jour ne fonctionne plus.

En fait j'ai l'impression que mon NAS ne peut plus accéder à Internet ce qui est bien d'un point de vue sécurité mais ces quelques service sont plutôt utiles que j'aimerais réactiver. Comment faire ? Merci !

0
unPixel Newbie

unPixel

Posté(e)
Posté(e)

J'ai pas envie de dire de bêtises mais à la base, un pare feu protège des accès extérieur qui cherche à entrer et non l'inverse donc je ne pense pas que tes soucis viennent du pare feu.

0
Synapso Newbie

Synapso

Posté(e)
Posté(e)

Je devrais peut-être enlever le service SSH finalement. Est-il réellement utile ?

Dans le cas où je le désactive, l'unique attaque (sauf failles) devrait venir que de mon réseau local ?

0
Fenrir Newbie

Fenrir

Posté(e)
  • Auteur
Posté(e)
Il y a 14 heures, Synapso a dit :

Dans le cas où je le désactive, l'unique attaque (sauf failles) devrait venir que de mon réseau local ?

oui

Il y a 14 heures, InfoYANN a dit :

Si tu demandes si SSH est utile alors désactives le :rolleyes:

:biggrin: +1

0
Nicolas31 Newbie

Nicolas31

Posté(e)
Posté(e)

Bonsoir, 

J'en suis a ce niveau la: 

chrome_2018-03-25_22-24-58.png.8e8ce36a40b7b2fa481c0e78f5be41cd.png 

le " tuto.mon.domaine " concerne uniquement le local ( sur le même réseau ) ? ou il peut servir a rentrer une adresse de type " nas.monndd.fr " ?

Merci 

0
Dimebag Darrell Collaborator

Dimebag Darrell

Posté(e)
Posté(e)

Merci beaucoup pour tes explications

Je reviens sur la partie firewall, j'ai appliqué les règles dans le firewall comme tu l'as mentionné (avec les 4 règles)

Par contre, impossible d'atteindre le NAS depuis l'extérieur, est-ce que dans les pré-requis, tu considères que l'on accède au NAS uniquement via un VPN ?

0
Dimebag Darrell Collaborator

Dimebag Darrell

Posté(e)
Posté(e) (modifié)

désolé, j'ai oublié de spécifier que je m'adressais à Fenrir, par rapport à son tutorial

 

Modifié par Dimebag Darrell
0
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

Je vais répondre pour lui.

Les 4 règles sont quasi obligatoires. On peut affiner les 3 premières en fonction de ses besoins, mais la dernière est le seul vrai rempart contre les attaques.

Pour le reste, c'est à vous de mettre les règles nécessaires en fonction de votre utilisation. Par exemple, si vous voulez utiliser le serveur VPN, il est bien évidemment nécessaire d'ouvrir les ports adéquates dans le parefeu. Cette règle sera à positionner AVANT la dernière règle.

De même, si vous utilisez le port standard https (443), il faudra l'autoriser dans le parefeu. Idem pour CloudStation (6690).

0
Dimebag Darrell Collaborator

Dimebag Darrell

Posté(e)
Posté(e)

Merci beaucoup pour la clarification,

Pour la 4ième règle, je suppose que celle là sert uniquement à bloquer tout le restant du traffic potentiel.

0

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.