Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

bonjour, j'ai commencé à mettre à place le NAS et à suivre ce tuto qui m'est bien utile !

Par contre j'ai des petites questions sachant que nous avons un usage professionnel du NAS (TPE 4 salariés) :

- chiffrement : pour la sauvegarde vers le cloud je compte le mettre en place, par contre en local est ce bien nécessaire ? quels sont les avantages et les inconvénients de le faire ?

- services de fichiers, j'ai désactivé le FTP dont on ne va pas se servir, par contre c'est quoi le service NFS (je ne veux pas désactiver un truc qui pourrait nous servir)

- administrateur : comme indiqué sur le tuto, j'ai supprimé les droits de lecture/écriture sur les dossiers partagés, par contre je ne comprends, si qqun prend le contrôle de ce compte il pourra se remettre les droits non ? (je précise que j'ai activé la double authentification). Ensuite, dans mon usage, les users n'auront pas accès à la corbeille pour récupérer des fichiers malencontreusement supprimés, du coup c'est l'administrateur qui va s'en charger, et là sans les droits je ne pourrais pas le faire ? Vaut il mieux créer pour ça encore un autre compte admin ?

- Menu "avancé" dans "Accès externe" je ne comprends pas du tout cette partie, à quoi ça sert, que faut il renseigner ?

- Menu "paramètre de DSM" dans "Réseau" pourquoi ne pas cocher la case "rediriger automatiquement les connexions HTTP vers le HTTPS (exceptés web station et photo station)

- Certificat : ça me semble très contraignant, quels risques à conserver le certificat par défaut ?

- Menu "Terminal et SNMP", il est dit d'activer le SSH, par contre il ne faut pas l'ouvrir depuis internet et il faut limiter son accès au seul réseau local, ok mais comment faire ?

Encore merci à vous pour vos précieux conseils !

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Citation

- chiffrement : pour la sauvegarde vers le cloud je compte le mettre en place, par contre en local est ce bien nécessaire ? quels sont les avantages et les inconvénients de le faire ?

Pas obligatoire en local. Tout dépend des données et de la valeur que tu leurs donnes ! Disons qu'elles seront lisibles en clair si quelqu'un vole la sauvegarde. L'inconvénient de chiffrer des fichiers est simplement qu'ils ne sont pas lisibles sur le coup et qu'il te faut le mot de passe ou la clé (fichier chiffré fourni lors du chiffrement de la sauvegarde) pour accéder aux données.

Citation

services de fichiers, j'ai désactivé le FTP dont on ne va pas se servir, par contre c'est quoi le service NFS (je ne veux pas désactiver un truc qui pourrait nous servir)

https://fr.wikipedia.org/wiki/Network_File_System

Citation

Menu "avancé" dans "Accès externe" je ne comprends pas du tout cette partie, à quoi ça sert, que faut il renseigner ?

Il faut renseigner les ports utilisés (5000 et 5001 par défaut) et le nom de domaine si tu en as un.

Citation

- Menu "paramètre de DSM" dans "Réseau" pourquoi ne pas cocher la case "rediriger automatiquement les connexions HTTP vers le HTTPS (exceptés web station et photo station)

Tu n'as pas correctement lu ou compris le tuto.

Je cite fenrir sur cette partie : "Je ne redirige pas automatiquement les connexions HTTP vers HTTPS car je n'expose pas DSM directement sur Internet (il y a un serveur VPN pour ça), mais si vous le faites, activez la redirection."

Citation

- Certificat : ça me semble très contraignant, quels risques à conserver le certificat par défaut ?

Contraignant ?! Il faut entrer une adresse mail, un nom de domaine et les sous domaines si il y en a. Ça prend max 30 secondes...

Citation

- Menu "Terminal et SNMP", il est dit d'activer le SSH, par contre il ne faut pas l'ouvrir depuis internet et il faut limiter son accès au seul réseau local, ok mais comment faire ?

Ne pas mettre de règle dans le parefeu et le routeur pour un accès extérieur vers le port SSH (22 par défaut).

Citation

- administrateur : comme indiqué sur le tuto, j'ai supprimé les droits de lecture/écriture sur les dossiers partagés, par contre je ne comprends, si qqun prend le contrôle de ce compte il pourra se remettre les droits non ? (je précise que j'ai activé la double authentification). Ensuite, dans mon usage, les users n'auront pas accès à la corbeille pour récupérer des fichiers malencontreusement supprimés, du coup c'est l'administrateur qui va s'en charger, et là sans les droits je ne pourrais pas le faire ? Vaut il mieux créer pour ça encore un autre compte admin ?

Quelqu'un prenant le contrôle avec un compte admin aura forcément tous les droits. Maintenant, c'est peu probable avec la double authentification forte, un bon mot de passe et surtout l'intelligence de l'administrateur derrière tout ça. Je veux dire par là qu'il faut par exemple éviter d'accéder à son nas en tant qu'admin depuis un terminal public ou même privé qui ne nous appartient pas...

Pour accéder à la corbeille, c'est contraignant mais tu peux te remettre l'accès à File Station quand tu en as besoin et l'enlever ensuite.

 

Je pense ne rien avoir oublié !

 

Modifié par InfoYANN
Lien vers le commentaire
Partager sur d’autres sites

Bonjour, merci pour ces réponses !

- chiffrement : ok en local je vais laisser en non chiffré.

- NFS j'ai déjà lu cette page wiki avant de demander, mais en pratique dans quel cas on peut en avoir besoin ?

- Pour l'accès externe quand tu parles du nom de domaine, c'est celui de DYN.COM que j'ai pour mon vpn ? (car nous avons aussi un autre domaine pour nos emails)

- Ok compris pour le HTTP / HTTPS, je ne coche pas

- Menu paramètres dans réseau ok compris en relisant. je ne coche pas (nous aurons un VPN)

- Certificat, il faut que je relise pour bien comprendre. Car il me semble avoir vu que le certificat que l'on génère expire au bout de 3 mois, et je me vois mal faire la manip tous les 3 mois...

- Terminal ok je vais regarder.

Encore merci d'avoir pris le temps de me répondre.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Citation

- NFS j'ai déjà lu cette page wiki avant de demander, mais en pratique dans quel cas on peut en avoir besoin ?

Alors tu devrais trouver réponse à ta question ici :)

https://msdn.microsoft.com/fr-fr/library/jj592688(v=ws.11).aspx

Citation

- Pour l'accès externe quand tu parles du nom de domaine, c'est celui de DYN.COM que j'ai pour mon vpn ? (car nous avons aussi un autre domaine pour nos emails)

Certainement mais je ne sais pas puisque jamais utilisé. J'ai toujours eu mon propre ndd (nom de domaine) chez OVH pour utiliser avec mon nas. Bien plus court et plus simple dans l'utilisation.

Citation

- Certificat, il faut que je relise pour bien comprendre. Car il me semble avoir vu que le certificat que l'on génère expire au bout de 3 mois, et je me vois mal faire la manip tous les 3 mois...

Effectivement, le certificat Let's Encrypt reconnu comme fiable par tous les navigateurs (à ce jour) doit être renouvelé tous les trois mois. Pour celà, il suffit lors de la réception du premier mail d'avertissement d'ouvrir le port 80 (uniquement celui là) pour les US ou alors d'autoriser les deux IPs de Let's Encrypt en continu sur le port 80 lui aussi. Certains te diront que c'est inutile car les deux IPs changent régulièrement mais pour le moment, ce n'est pas le cas et ça fait déjà plusieurs renouvellements automatiques que j'ai vécu avec ces deux IPs autorisées dans le pare feu du nas et mon routeur.

Sinon, tu peux toujours générer un certificat par défaut de Synology mais il ne sera pas reconnu comme fiable auprès des navigateurs et dans ce cas, toi et tes utilisateurs auraient des avertissements lors de l'accès au nas. A toi de les prévenir dans ce cas qu'ils ne craignent rien. Je n'aime pas cette méthode car si soucis il y a un jour, tu le sauras peut-être pas car de base, le certificat n'est pas reconnu comme fiable donc tu te méfieras pas.

Citation

Encore merci d'avoir pris le temps de me répondre.

De rien

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir, 

Dans le tuto, c'est bien précisé qu'il faut ouvrir le port 80 pour activer le certificat let's encrypt, hors j'ai réalisé l'opération sans avoir besoin de l'ouvrir, avec le parefeu activé et aucun règle sur le port 80, idem du côté de ma box, pas de redirection.

J'ai ensuite essayé de me connecté sur mon nom de domaine et effectivement le certificat est bien valide.

D'où ma question, j'essaie de bien sécuriser ma connexion, mais sur ce coup, le fait que j'ai rien eu à faire pour activer le certificat, ça veut pas dire que mon pc est une passoire ? :rolleyes:

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir à tous,

J'ai fait tout le tuto mais je n'arrive pas à envoyer les notifications par mail.

Le pare-feu est activé sur la box et le NAS, faut-il ouvrir des ports sur la box ou NAS ?

J'ai configuré le bon port SMTP fourni par mon hébergeur mail.

Pour let's encrypt je n'ai pas eu besoin non plus d'ouvrir le port 80

Lien vers le commentaire
Partager sur d’autres sites

J'ai vérifié j'ai bien les mêmes règles que le tuto. Je vais continuer à regarder

Par contre, voila les besoins que j'aurais besoin en service externe :

- lecture video et musique et photo de l'exterieur

- partage de fichiers avec la famille

- un peu de download station

Est ce que le tuto est ok pour Audio station et Video station pour accéder de l'exterieur ? Faut-il ouvrir les ports sur pare-feu et box ?

Pour le partage de fichier, quel est le service le plus sur à activer ? Quel est le port à ouvrir.

Si on active le serveur VPN, quels sont les modifications à faire pour Audio Station et Video Station, pour le partage de fichier ?

J'ai 2 ports Ethernet et je voudrais utiliser un VPN pour Download station, peux t-on utiliser le serveur VPN sur un port pour accéder à tous les services et le VPN sur un autre ?

Merci pour les réponses

Lien vers le commentaire
Partager sur d’autres sites

Il y a 12 heures, InfoYANN a dit :

Alors vous ne devez pas avoir tous les deux une règle qui interdit tout ce qui n'est pas autorisé... Reprenez le tuto car vous avez loupé quelque chose (partie pare feu).

Comme tokin59, j'ai exactement les même règles que dans le tuto et en vérifiant le port 80 sur Mxtoolbox la réponse est "Filtered" et sur canyouseeme "connection timed out", à voir...

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Pour mes accès HTTPS depuis Internet à Photo Station (à partir de DSPhoto sur mon portable) j'utilise un port spécifique que je route par ma box sur le port 443 du NAS. Je pensais peut être naïvement que c'était peut être plus sécurisé. Du coté inconvénients j'en ai subit moins 2 :

  • Avoir des requêtes différentes selon que je suis en 4G ou en Wifi local, d'où un changement de paramétrage,
  • Etre obligé d'ajouter le numéro de port externe dans les URLs    

Y a t-il un intérêt particulier à mettre en place ce type de routage plutôt que d'utiliser directement le port 443 sur Internet ?
Quels sont les véritables risques à ouvrir ce port sur Internet ?

Je précise que sur mon NAS Web Station n'est pas lancé car je n'utilise que Photo Station et Surveillance Station, les autres applications ne sont utilisées qu'(en local ou via un VPN vers mon NAS.)

J'ai les mêmes questions pour les accès OPENVPN (Internet vers NAS) et Surveillance Station qui utilisent également des ports différents des ports du NAS. 

Merci pour votre éclairage ...

Thierry

 

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

Le 1/15/2018 à 09:30, ers31 a dit :

c'est quoi le service NFS

L'équivalent du CIFS/SMB mais pour les systèmes Unix/Linux (chez un particulier qui pose la question, le seul cas d'usage c'est pour les media center, type kodi)

Le 1/17/2018 à 21:00, Sylvain37 a dit :

D'où ma question, j'essaie de bien sécuriser ma connexion, mais sur ce coup, le fait que j'ai rien eu à faire pour activer le certificat, ça veut pas dire que mon pc est une passoire ? :rolleyes:

Le PC je ne sais pas, mais ta box oui, tu as du activer l'UPNP et/ou laisser les règles dans ta box.

Le 1/17/2018 à 22:48, tokin59 a dit :

J'ai configuré le bon port SMTP fourni par mon hébergeur mail.

Test avec un client mail (thunderbird par exemple) pour vérifier tes paramètres

Le 1/17/2018 à 22:48, tokin59 a dit :

Pour let's encrypt je n'ai pas eu besoin non plus d'ouvrir le port 80

upnp ...

Le 1/17/2018 à 23:27, tokin59 a dit :

Est ce que le tuto est ok pour Audio station et Video station pour accéder de l'exterieur ? Faut-il ouvrir les ports sur pare-feu et box ?

cf fin du tuto avec le reverse proxy ou les autres posts qui en parlent

Le 1/17/2018 à 23:27, tokin59 a dit :

Pour le partage de fichier, quel est le service le plus sur à activer ? Quel est le port à ouvrir.

si c'est depuis Internet sans VPN : filestation

sinon avec vpn ou en local, ce que tu veux (SMB ou NFS)

Le 1/17/2018 à 23:27, tokin59 a dit :

Si on active le serveur VPN, quels sont les modifications à faire pour Audio Station et Video Station, pour le partage de fichier ?

aucune normalement

Le 1/17/2018 à 23:27, tokin59 a dit :

J'ai 2 ports Ethernet et je voudrais utiliser un VPN pour Download station, peux t-on utiliser le serveur VPN sur un port pour accéder à tous les services et le VPN sur un autre ?

oui mais si tu poses la question c'est que tu ne sauras pas le faire

Le 1/20/2018 à 22:25, Thierry94 a dit :

Du coté inconvénients j'en ai subit moins 2 :

cf tuto DNS

Le 1/20/2018 à 22:25, Thierry94 a dit :

Y a t-il un intérêt particulier à mettre en place ce type de routage plutôt que d'utiliser directement le port 443 sur Internet ?

quelle est la différence selon toi ?

 

Lien vers le commentaire
Partager sur d’autres sites

Merci Fenrir pour le cf.
J'ai lu ton tuto que j'ai trouvé bien fait et très intéressant, c'est un domaine que je ne connaît pas du tout. Je pense que je m'y intéresserai d'un peu plus prêt prochainement. 
Par contre je n'ai pas trouvé de réponse à ma principale question qui était quels sont les risques à ouvrir les ports (443, 9901, ...) sur ma box plutôt que d'ouvrir d'autres ports et faire des routages vers les potrts du NAS ?

 

Question complémentaire qui concerne le https : Sur mon NAS je n'ai pas activé le transfert Http vers Https car je n'accède aux applications qu'en local (sauf PhotoStation) et pourtant lorsque je rentre "http://nomdomaine.fr" sur mon navigateur il me transforme systématiquement en "https://nomdomaine.fr:5001" ... y a t-il autre chose à retirer dans les paramètres ?

 

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

bonjour 

 

c'est vrai que ce tuto est très bien fait et très utile, merci !

J'ai commencé à mettre en œuvre, et j'ai un (premier) problème au sujet du certificat. J'ai créé un certificat via le NAS directement et indiqué mon nom de domaine en synology.me comme info.Je l'ai défini comme certificat par défaut et j'ai supprimé l'autre, qui était installé en usine.

A chaque fois que je me connecte au NAS en local, j'ai une alerte rouge "non sécurisé" écrit en rouge avec le https qui est en rouge et barré, alors que quand je me connecte au NAS depuis l'extérieur, je n'en ai pas. En cliquant sur le cadenas, j'ai une indication me disant que le certificat est non valide, et quand je clique sur "non valide", j'ai une fenêtre qui s'affiche et me dit que "le certificat est marqué comme fiable pour ce comte". Il parle de quoi, Chrome, là ? De mon compte ndd que j'ai utilisé pour la création du certifi ? d'où vient ce problème ?

Je vais avoir plein d'autres questions mais on va en traiter une à la fois :glasses:

merci !

Modifié par balthazar
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonjour,

Merci beaucoup pour ce magnifique tuto.

C'est la première fois que j'utilise un Proxy inversé et même un Proxy tout court, c'est pourquoi j'aurai besoin de petite précision.

Je constate que vous faites pointer du HTTPS sur du HTTP, y a-t-il un gain de performance à faire comme cela? et risquons-nous pas de nous retrouver avec une connexion non cryptée? 

Concernant le VPN, est-il vraiment plus sécurisé que de simple accès en HTTPS? et au niveau performance y a-t-il une différence?

Concernant les comptes administrateurs, je n'ai nul besoin d'administrer mon serveur de l'extérieur. Est-il possible de manière simple, d'interdire aux admins de se connecter depuis l'extérieur?

Merci d'avance pour vos réponses.

Lien vers le commentaire
Partager sur d’autres sites

Faire pointer du https sur http... bah en gros... seul la moitié de l’échange sera sécurisé (d’entre toi et le proxy, mais pas entre le proxy et le site web)

Le vpn est bien plus sécurisé, pas d’interception possible, cela dégrade les performances, mais cela est imperceptible (de mon point de vue)

Lien vers le commentaire
Partager sur d’autres sites

Il ne sert à rien de doubler la sécurité dont le seul effet sera de ralentir les transferts. En effet, une fois que vous avez atteint le NAS et que le reverse proxy vous renvoi vers un virtualhost, vous feriez du https à l'intérieur du NAS. Pas sûr que ça soit très utile.

Ensuite, sur des adresses externes au NAS qui sont sur le réseau privé, si vous pensez que vous risquez de vous faire pirater c'est que vous n'avez pas confiance à votre propre réseau. Dans ce cas, vous pouvez faire du https si ça vous chante mais il vous faudra alors un autre certificat valide pour cette liaison.

Je n'ai pas d'argument à fournir entre vpn et https niveau sécurité, mais on peut faire confiance à Fenrir quand il affirme qu'un vpn correctement monté est plus sûr que de l'https.

Pour ne pas pouvoir accéder à DSM de l'extérieur, il suffit de ne pas ouvrir les ports 5000 (très mal) et 5001 (moins bof)

Lien vers le commentaire
Partager sur d’autres sites

Merci beaucoup pour vos réponses.

Pour le Proxy inversé, c'est bien ce que je pensais mais j'avais besoin d'être rassuré, j'ai donc fait ma config comme indiqué sur le tuto et cela fonctionne très bien.

Concernant les comptes admins, désolé, je me suis mal exprimé.

Quand je dis que je n'ai nul besoin d'administrer mon serveur de l'extérieur, je veux dire depuis internet (wan), l'idée ici était de limiter la connexion des comptes admins à une plage d'adresses IP.

Je viens de trouver quelque chose d'intéressant:

Dans le panneau de configuration, privilège, on peut désactiver les droits au utilisateur par défaut et créer des autorisations par ip.

J'ai donc modifié pour le "bureau DSM" les droits  du groupe administrateur pour une autorisation par IP ensuite j'ai ajouté dans "liste des permissions" le sous réseau 192.168.0.0\255.255.0.0. et j'ai testé.

J'y ai cru pendant 2 min car sur un ordinateur et depuis internet, le système m'informe que je n'ai pas les droits d'accès mais malheureusement sur une tablette qui utilise DSM mobile je n'ai eu aucun problème pour me connecter.

Du-coup, pour l'instant j'ai refermé le port 5001 sur mon routeur (port 5000 jamais ouvert), je vais suivre le tuto pour les comptes admins et je vais me pencher sur la mise en place du VPN.

Dernière petite question: si je ferme tous les ports http au niveau du pare-feu, ai-je toujours besoin de mettre en place le code PHP pour la redirection HTTP>HTTPS?

 

 

 

  

Lien vers le commentaire
Partager sur d’autres sites

Il y a 13 heures, Nathost a dit :

Dernière petite question: si je ferme tous les ports http au niveau du pare-feu, ai-je toujours besoin de mettre en place le code PHP pour la redirection HTTP>HTTPS?

Ce n'est pas une obligation, même si le nas est accessible depuis Internet, c'est à voir selon les besoins.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Je suis bloqué depuis un moment avec le certificat.

Je pense que j'ai réussi à le faire, mais dès que je me connecte, j'ai toujours un avertissement comme quoi le certificat est non valide, et que si je l'accepte, je prends des risques. Ce que je fais...

Est-ce que c'est normal d'avoir ça, ou est-ce que ça devrait être transparent, je devrais être redirigé directement sur mon site?

J'ai mis un nom de domaine du type : monnas.synology.me.

 

Merci pour votre aide

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.