Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

Question subsidiaire :

On va me prendre pour un éternel débutant mais tant pis, je pose ma question. 🙂

Afin de donner plus de clarté au fil de discussion, j'aimerai aussi citer la personne qui m'a répondu pour mettre son pseudo en surbrillance précédé du @.

Quand on veut citer quelqu'un de particulier, apparaît dans un rectangle bleu le @suivi du pseudo. Cela se fait en automatique avec une manip précise ou vous le faites manuellement (si on peut le faire)  ? Comment faites-vous ?

Merci.

 

Lien vers le commentaire
Partager sur d’autres sites

Me revoici :

@9re9os dit :

Citation

Pour le certificat, tout le monde recommande de passé par lets encrypt. Il te faut, sur le firewall du nas, autoriser les 2 IP des serveurs lets encrypt sur le port 80. Tu rediriges également pour le faire, le port 80 de ton routeur vers l'adresse LAN de ton nas.

Ne rediriges pas les ports 5000 et 5001 de ton routeur vers le nas. Soit tu changes ces ports par défauts puis tu refais ta redirection, soit tu peux rediriger un port différent, vers le port 5000. Ça peut faire des noeuds au cerveau mais ça reste basique (par exemple tu rediriges le port 2000 sur ton routeur (c'est un exemple) vers le port 5000 du nas. En LAN le dsm sera donc accessible depuis ton IP_LOCAL:5000 et en WAN, le dsm le sera depuis IP_PUBLIQUE:2000.

avant de modifier les règles du parefeu du nas et de la box :

s'il faut (si on doit ?) rediriger les ports 5000 et 5001 du nas vers la box, quels numéros de ports prendre ? Certains sont affectés à des protocoles existants ?

Lesquels choisir ?

Merci.

Lien vers le commentaire
Partager sur d’autres sites

Là, tu as la liste des ports les plus fréquemment utilisés :

https://fr.wikipedia.org/wiki/Liste_de_ports_logiciels

Ensuite, chez Synology, tu as ceux là qui sont aussi utilisés :

https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/General/What_network_ports_are_used_by_Synology_services

Cale toi sur eux pour appliquer un port 😉

 

Modifié par Zeus
Lien vers le commentaire
Partager sur d’autres sites

Ca n'a guère d'utilité de faire de la translation de ports. Gardez les ports d'origine. Vous ne serez ni plus ni moins protégé. C'est surtout le parefeu et des identifiants solides qui seront votre meilleure protection. Par contre, on ne mets pas les ports http (5000 par exemple) accessibles de l'extérieur.

L'intérêt de la translation de ports c'est de pouvoir atteindre plusieurs appareils sur le réseau privé. Par exemple si vous avez 2 NAS, vous pouvez envoyer le 5001 vers le 5001 du NAS principal et le 5002 vers le 5001 du NAS secondaire.

Mais le mieux c'est d'avoir un ndd jumelé au reverse proxy et de n'utiliser que le port https par défaut (443) et éventuellement les ports spécifiques aux applications (6690 par exemple pour CloudStation)

Lien vers le commentaire
Partager sur d’autres sites

Bien entendu. Comme je suis quasiment le seul utilisateur actif de mon NAS, cette redirection ne m'est pas utile. J'ai le port 80 ouvert mais uniquement pour les 2 adresses LE pour le renouvellement auto de mes certificats. A ce propos, je ne sais pas si la redirection 80 --> 443 permet tout de même le renouvellement. J'ai un doute là dessus.

Lien vers le commentaire
Partager sur d’autres sites

@Pingouindunas, désolé de t'avoir envoyé vers une mauvaise direction, avec les translations de ports.

Ayant atteint une config qui fonctionne, après 10 jours de galère, j'ai voulu renvoyer un peu la pareille histoire de soulager les initiés habituels du topic.

Malgré mes bonnes intentions, je n'ai pas le niveau ^^ et devrai me garder de répondre avec hâte. Bon courage pour la suite, mais au stade où tu en es, tiens le coup, ça en vaut la peine.

@Mic13710, merci pour ton intervention. J'ai pu modifier ces ports. Je les gardais ouverts par mauvaises pratiques de 5 années de nas. 5 années sans avoir le temps de prendre le temps de mettre en place un certificat me permettant d'enfin...profiter du HTTPS. Merci !

Lien vers le commentaire
Partager sur d’autres sites

Pour @Mic13710

Citation

L'intérêt de la translation de ports c'est de pouvoir atteindre plusieurs appareils sur le réseau privé. Par exemple si vous avez 2 NAS, vous pouvez envoyer le 5001 vers le 5001 du NAS principal et le 5002 vers le 5001 du NAS secondaire.

Comme je n'ai qu'un nas mais il doit être accessible depuis l'extérieur. Donc, je ne fais pas de redirections.  De toute façon, vous êtes plusieurs (entre autres @Fenrir et @Mic13710 ) à déconseiller les redirections.

Pour @9re9os

Citation

désolé de t'avoir envoyé vers une mauvaise direction, avec les translations de ports.

Ce qui compte, c'est d'essayer d'aider les autres.

pour tous :

J'ai fait une synthèse de ce que je dois faire dans ce que vous me proposez :

1) enlever les ports 5000 et 5001 de la box : c'est fait.

2)  @9re9osparefeu du nas  : autoriser les ip publiques des serveurs Let's encrypt sur le port 80

3) autoriser les ports 80 de la box vers ip_nas

4) autoriser les ports 443 de la box vers ip_nas

Est-ce bien cela qu'il faudrait faire même si ce ne sera pas encore terminé ?

 

Lien vers le commentaire
Partager sur d’autres sites

1) je l'ai fait enfin aussi !

2) Voici les 2 IP public de LE pour le parefeu du NAS

66.133.109.36

64.78.149.164

mais en plus du port 80, autorise le 443. Sauf erreur de ma part, je crois avoir lu quelque part ici ou sur un autre tuto que LE commençait la connexion en 80 et passait ensuite en 443.

3) Les sachants ^^ le déconseillent ; le strict minimum c'est d'au moins faire la redirection le temps des mises à jour du certif, tous les 2 (3?) mois.

4) oui

Lien vers le commentaire
Partager sur d’autres sites

@9re9os la translation de port n'est pas un problème en soit. Simplement ça complique l'usage car comme vous le faite remarquer, il faut jongler avec des ports différents entre LAN et WAN. On peut aussi modifier les ports par défaut du NAS pour les faire correspondre aux ports exotiques utilisés. Dans ce cas, un reset du NAS rétablira les ports d'origine ce qui peut poser problème lorsqu'on est habitué à se connecter avec des ports différents. En aucun cas, la translation vous protègera des intrus. Si des hackers ne s'attaquent qu'aux ports par défaut, il n'y a rien à craindre car ce sont surtout des petits rigolos qui se feront bloquer par le parefeu et s'en iront voir ailleurs. Pour les autres, il mettront quelques secondes de plus pour trouver les ports ouverts. C'est surtout contre ceux là qu'il faut se prémunir avec des mdp forts et un parefeu très restrictif.

L'avantage d'un ndd associé au serveur DNS et au serveur proxy c'est qu'on peut utiliser la même url que ce soit côté LAN ou côté WAN. Fenrir en parle dans ce tuto je crois.

@Pingouindunas oui les redirections sont bonnes, mais elles ne peuvent fonctionner que si vous mettez en place le serveur DNS et le reverse proxy. Sans cela, vous ne pourrez pas utiliser le 443 pour vous connecter aux différentes applis du NAS. Allez faire un tour du côté du tuto de Fenrir sur le serveur DNS (attention, ce n'est pas simple à appréhender et à mettre en service) et si vous voulez voir le serveur proxy en application, rendez-vous sur mon intervention en page 2 de ce même tuto du serveur DNS.

 @9re9os pour le point 3, vous pouvez laisser le port 80 ouvert en permanence vers le NAS. C'est le parefeu qui ne laissera passer que les 2 adresses LE. Le reste sera bloqué.

Lien vers le commentaire
Partager sur d’autres sites

Pour @Mic13710

Citation

Allez faire un tour du côté du tuto de Fenrir sur le serveur DNS (attention, ce n'est pas simple à appréhender et à mettre en service) et si vous voulez voir le serveur proxy en application, rendez-vous sur mon intervention en page 2 de ce même tuto du serveur DNS.

On est obligé de passer par serveur DNS (j'avais bien compris que c'est le top) ?

mais déjà que mes neurones sont en surchauffe 😂

Pas de solution plus simple pour mon cerveau d'éternel débutant ?

Je vais regarder jusqu'au moins la page 2 qui me concerne. Mon cerveau va faire des nœuds et surchauffer, c'est certain ! 😀

En tout cas, merci de vos conseils.

 

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 19 minutes, Mic13710 a dit :

C'est surtout contre ceux là qu'il faut se prémunir avec des mdp forts et un parefeu très restrictif.

oui, et en cela le tuto est très clair. Le parefeu est facile à appréhender, et les différents screen sur le fil permettent d'y aller à son rythme. Plus la bonne gestion des admin/utilisateurs

Bon, j'avoue qu'avec mon mdp à plus de 72 caractères, je suis bon là :mrgreen:

il y a 19 minutes, Mic13710 a dit :

L'avantage d'un ndd associé au serveur DNS et au serveur proxy c'est qu'on peut utiliser la même url que ce soit côté LAN ou côté WAN. Fenrir en parle dans ce tuto je crois.

C'est bien la raison qui m'ont fait suivre l'ensemble des tutos cohérents pour une bonne maîtrise de son matériel. Galère pour un néophyte du réseau, mais avec un peu de temps, c'est jouable. Et que du bonheur ensuite. Il y a juste eu, pour moi, un peu d'incomprehension de l'intérêt du reverse proxy (dans mon cas précis, puisque je n'accède aux appli que via mobile). Dès lors que mon accès au nas via appli mobile se fait en LAN ou WAN via le même ndd, je ne pigeais pas pourquoi et dans quel cas utiliser le reverse proxy. Mais ça y est... pour plus tard, c'est en place. Pour accès extérieur au appli via navigateur. Je précise que je suis utilisateur principal et presque unique de mes données.

il y a 19 minutes, Mic13710 a dit :

pour le point 3, vous pouvez laisser le port 80 ouvert en permanence vers le NAS. C'est le parefeu qui ne laissera passer que les 2 adresses LE. Le reste sera bloqué.

Ok. J'avais pensé qu'il était préférable de n'activer les règles du parefeu et la redirection entre routeur et nas du 80 que lors des périodes de màj LE.

Lien vers le commentaire
Partager sur d’autres sites

@PingouindunasSi comme vous le dites vous n'êtes pas à l'aise avec votre NAS, je vous conseille pour le moment de le faire fonctionner de manière classique avec les ports par défaut (5001) car c'est le plus simple. C'est seulement qu'après avoir compris le fonctionnement général que vous pourrez allez plus loin. Ne brulez pas les étapes. Je vous ai parlé du serveur DNS pour vous dire qu'il y avait d'autres solutions, et je pensais aussi que vous aviez assez d'expérience pour vous lancer dans l'aventure. Comme ce n'est pas le cas, contentez vous de suivre le tuto de Fenrir et faite les paramétrages de base.

Lien vers le commentaire
Partager sur d’autres sites

il y a 25 minutes, Mic13710 a dit :

et si vous voulez voir le serveur proxy en application, rendez-vous sur mon intervention en page 2 de ce même tuto du serveur DNS.

C'est bien à cause de vous (peut-on de tutoyer ? ;) ) et de votre intervention sur cette page-là que j'ai filé droit chez OVH et quitter mon ancien prestataire depuis 4 ans :lol:

Bon ceci dit, je me suis gardé la partie DNS public pour plus tard... comme @Pingouindunas, j'attends un peu le refroidissement des neurones. D'autant que dans mon usage quotidien, ce n'est pas nécessaire.

Oui, Pingouindunas, le serveur DNS n'est pas indispensable, mais au point où tu en es, c'est quand même dommage de passer à côté. C'est l'étape d'après. La pièce manquante du puzzle, combiné avec le serveur VPN. Vas-y par palier. Le tuto s'applique plutôt bien, dès lors que la base est mise en place : nom de domaine, certificats (prends le temps de lire l'ensemble des interventions pour t'éviter de refaire trop de fois la demande de certifications, si tu veux utiliser le reverse proxy), et dynDNS.

Bon courage ! Profites d'un week-end de pluie :mrgreen:

Lien vers le commentaire
Partager sur d’autres sites

@Mic13710

Merci du conseil.

Mais je rame beaucoup. Je n'ai jamais pratiqué les nas. Mes cours réseau remontent à 2002, autant dire l'antiquité. De plus, je commence à prendre de l'âge et la mémoire patine. 😊

Je vais donc rester à une config plus classique.

Je referai demain la synthèse de ce que je dois paramétrer (ce soir trop fatigué !).

Merci de vos messages.

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Je comprend pas trop tes règles là.

A quoi correspond cette adresse : 192.2.3.0 ?

Pourquoi ouvrir le 5000 et 5001 si tu passes par un reverse proxy avec les ports 80 et 443 ?

Pour le port 80, ok en ouverture mais si tu appliques une redirection automatique en php par exemple. Mais pas par l'option intégrée dans DSM !

Modifié par Zeus
Lien vers le commentaire
Partager sur d’autres sites

@Zeus

J'ai essayé de faire une config "simple".

192.2.3.0 : J'ai copié bêtement les règles de parefeu sur le tuto de Fenrir : oups ! pas bien apparemment.

Pour l'instant, je n'ai pas activé le reverse proxy, car je n'ai pas le nom de domaine donné par syno. Et je n'ai pas encore le certificat LE.

une ouverture du 80 en php, je ne sais pas faire.

bref, j'ai encore beaucoup d'embûches devant moi !

Il faudrait commencer par avoir le certificat, puis après le ndd chez syno ?

 

Lien vers le commentaire
Partager sur d’autres sites

Je suis pas sûr qu'on puisse faire un reverse proxy avec le ndd de Quickconnect. Et je te déconseille ce ndd d'ailleurs même si gratuit.

Je te recommande plutôt de passer par ton propre ndd acheté chez OVH par exemple qui gère les DynDNS si tu n'as pas d'IP fixe. Ca ne coute que quelques euros par an !

Et Fenrir montrait un exemple mais ce n'était pas forcément pour tout le monde.

Pour la redirection php, il y a des sujets sur le forum 😉

Le certificat, fais le à la fin quand tu rencontreras un soucis sur ton navigateur, c'est pas l'urgence sans compter que tu ne peux pas le faire si tu n'as pas encore le nom de domaine !

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.