Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

il y a 45 minutes, Mic13710 a dit :

Ensuite, très grosse erreur, votre NAS est ouvert aux quatre vents ! Supprimez la règle du parefeu qui autorise les ports 80, 5000 et 443 pour tout le monde (ou limitez son empreinte géographique) et n'ouvrez pas le port 5000 (DSM) vers l'extérieur.

C'est pas comme si on était sur LE topic "sécurité" qui explique clairement comment ouvrir les ports et ce qu'il ne faut pas faire...🙄

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Mic13710,

Merci pour votre aide.

Il y a 16 heures, Mic13710 a dit :

Là, vous avez redirigé le 80 vers le 5000, ce qui à l'évidence ne peut pas convenir.

Dans les paramètres réseau du NAS j'ai laissé les ports DSM par défaut (5000 pour HTTP et 5001 pour HTTPS). J'ai donc redirigé le 80 de ma box vers le 5000 du NAS, ce qui me semblait logique. D'ailleurs lorsque je tape dans le navigateur de mon mobile https://ippubliquedemabox je vois bien apparaître la page de connexion de mon nas. Le problème c'est que le certificat n'est pas pris en compte.

Si je comprends bien votre réponse le port 5000 est spécifique à DSM et le port http du nas est toujours 80 ?

 

Il y a 15 heures, Zeus a dit :

C'est pas comme si on était sur LE topic "sécurité" qui explique clairement comment ouvrir les ports et ce qu'il ne faut pas faire...🙄

Je vous rassure je n'ai activé cette règle que le temps d'essayer de générer le certificat.

Lien vers le commentaire
Partager sur d’autres sites

Comme vous l'avez justement écrit, 5000 et 5001 sont les ports de DSM. Tout comme vous avez des ports spécifiques pour les applications (video station, audio station, etc...).

il y a 22 minutes, dadap94 a dit :

Si je comprends bien votre réponse ......... le port http du nas est toujours 80 ?

Pas du tout et pas plus qu'un autre port. Si vous ne l'activez pas, il ne sera pas accessible, pas plus que le 5000 ou le 5001. D'où l'importance d'ouvrir le 80 sur le NAS et de préférence pour les deux seules adresses LE. Si vous voulez utiliser le 80 pour autre chose que la mise en place et le renouvellement du certificat, il faut alors passer par le reverse proxy.

Les ports 80 et 443 sont les ports par défaut http et https. Si LE doit passer par le 80, c'est le 80 jusqu'au NAS sans translation de port. Si vous le redirigez vers le 5000, il est bien évident que vous accèderez au NAS avec le http://ippublique, mais seulement à DSM et dans ce cas LE ne pourra pas communiquer pour mettre en place le certificat. Ce qui fait que vous faite open bar sur votre NAS et il suffit de peu de chose (quelques secondes pour un hacker débutant) pour pirater votre NAS.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir et bonne année,

Je suis en train d'installer un nouveau NAS chez moi, et j'applique ce tuto que j'avais suivi pour un autre. J'ai découvert récemment que la "compatibilité moderne" TLS/SSL pouvait cependant causer des problèmes avec Windows 7 qui n'aurait pas été mise à jour pour inclure le TLS 1.1 et 1.2. Normalement ce n'est pas un problème car les mise à jour se font automatiquement sauf en entreprise (si si ... là où je bosse). Webdav est chatouilleux là dessus

Le problème plus génant est avec mailserver, je ne pouvait plus recevoir de mail avec la compatibilité moderne. la solution est pour mailserver de mettre la compatibilité intermédiaire (via le bouton paramètres personnalisés"

image.png.ada79e859513e7f56ca3b821e6ff647c.png

Autre sujet, pour l'admin qui n'a pas de droit sur les dossiers partagés, j'ai touvé une astuce, c'est créer un groupe qui a accès à tout les répertoires et justete FTP comme application (mais peut être pas si bien) et mettre un user dedans le temps de faire certaine manips puis le sortir du groupe. Et c'est facile à auditer

 

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Bonjour

Le 10/05/2017 à 21:31, danielpm83 a dit :

... j'ai vraiment l'impression d'être à la ramasse étant le seul à poser autant de questions sur la mise en pratique !

Citation

Tu as bcp de lacunes en réseau, donc tu as du mal à comprendre => https://openclassrooms.com/courses/les-reseaux-de-zero

Moi aussi, j'ai beaucoup de lacunes et merci @Fenrir pour ce lien sans lequel je n'aurais jamais compris les histoires de masque de sous réseau ... et grand MERCI aussi pour ce tuto.

J'ai dû le lire de très nombreuses fois car je suis débutant et certaines choses (comme le pare-feu) ne sont pas faciles à comprendre (mais j'avais, tout de même, compris que c'est par là qu'il fallait commencer :wink:).

Je n'ai pas lu tout le topic (10 pages, seulement :mrgreen:) ... j'avoue que, au début quand je lisais les commentaires, je ne comprenais même pas les questions que vous tous posiez :lol: ... ce n'est qu'en insistant que j'ai fini par capter.

Bref, j'ai fini par sécuriser le minimum nécessaire (j'avais déjà activé le serveur de messagerie, il y avait donc urgence car je ne pouvais pas bloquer tous les accès externes ni laisser tout ouvert) et, désormais, je peux prendre mon temps pour ajuster en fonction de mes besoins à venir.

 

Il me reste, tout de même une petite question :

@ers31 a demandé : "Menu "avancé" dans "Accès externe" je ne comprends pas du tout cette partie, à quoi ça sert, que faut il renseigner ?"

@Zeus a répondu : "Il faut renseigner les ports utilisés (5000 et 5001 par défaut) et le nom de domaine si tu en as un."

Or, dans son tuto, @Fenrir avait écrit : "Attention, il faut vider ces champs si vous utilisez des noms de domaine ou des ports spécifiques (portail des application, reverse proxy, ...)."

  • Je ne comprends pas cette phrase de Fenrir ...   (aurait-ce un rapport avec les IP dynamiques ?)
  • Puis-je avoir des précisions ?

 

Voilà, encore merci à Mr Réseau pour ce tuto (que je n'ai trouvé bien qu'une fois que j'avais compris :razz:)

Angel

Modifié par D34 Angel
Lien vers le commentaire
Partager sur d’autres sites

Cette partie "Accès externe" sert à renseigner le ndd et les ports http et https qui seront utilisés pour les liens externes vers le NAS.

Indépendamment des liens vers Google Docs ou Pixlr dont parle la doc, ces informations sont nécessaires si vous avez un "vrai" nom de domaine, des ports d'accès différents de ceux par défaut et que vous vouliez partager des données avec d'autres. Il faudra alors indiquer le nom de domaine que vous avez renseigné dans votre reverse proxy pour accéder à vos fichiers, ainsi que les ports http et/ou https que vous utilisez lorsque vous vous connectez de l'extérieur pour que vos liens de partage puissent pointer vers vos données à partager.

Par exemple, si vous avez créé dans votre reverse proxy le nom d'hôte file.mondomaine, port 443 qui pointe vers le port 7000 du NAS (file station), en renseignant comme nom d'hôte : file.mondomaine  http : 80 https : 443, les liens de partage seront de la forme : https://file.mondomaine/sharing/UptAulFv5

Si vous avez gardé le port 5001, ce même lien sera de la forme : https://file.mondomaine:5001/sharing/UptAulFv5

Attention toutefois : le lien créé dépend du mode de connexion au NAS au moment de sa création. Si vous êtes connecté en http, le lien créé sera en http avec le port http renseigné. Si vous êtes en https, le lien sera en https. C'est un truc débile qui traine depuis une éternité dans dsm et qui n'a pas été corrigé par Synology. Je leur ai bien proposé de donner le choix à l'utilisateur du type de lien qu'il souhaite avoir mais ce n'est toujours pas corrigé.

Lien vers le commentaire
Partager sur d’autres sites

Merci @Mic13710 pour cette réponse rapide.

Je n'ai pas tout compris car certaines notions (reverse proxi, notamment) me sont encore abstraites.

Ceci dit, je l'ai noté dans un petit coin de ma tête pour quand j'en aurai besoin (je m'en souviendrai quand je serai en situation).

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

J'ai reçu un mail de Let's Envcrypt ce matin :

Your Let's Encrypt client used ACME TLS-SNI-01 domain validation to issue
a certificate in the past 60 days. Below is a list of names and IP
addresses validated (max of one per account):

TLS-SNI-01 validation is reaching end-of-life. It will stop working
temporarily on February 13th, 2019, and permanently on March 13th, 2019.
Any certificates issued before then will continue to work for 90 days
after their issuance date.

You need to update your ACME client to use an alternative validation
method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your
certificate renewals will break and existing certificates will start to
expire.

Dans le doute, je me suis créé un nouveau certificat en remplacement de l'ancien, mais je ne sais même pas si c'est ce qu'il fallait faire ...

Une idée ?

 

Modifié par StéphanH
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

J'ai eu le même mail et j'ai contacté Let's Encrypt, Tom très sympa m'a renvoyé vers une précédente réponse :

https://community.letsencrypt.org/t/synology-tls-sni-01-end-of-life-email/83064

En conclusion DSM n'utilise plus la validation ACME TLS-SNI-01 mais une validation http. Il faut donc ignorer ce mail.

Pour en être sûr, il est conseillé de renouveler un certificat. Si ça marche c'est qu'il n'y a pas de problème.

Et si on lit jusqu'à la fin :

 

 

Capture.JPG

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Salut,

Tout d'abord merci à Fenrir pour son travail et à tous les autres pour leur participation - je n'ai pas encore tout lu des 22 pages, mais c'est déjà très enrichissant.

Jusqu'à maintenant, mon NAS était ouvert vers l'extérieur - avec un mot de passe très fort, mais j'ai eu quand même dernièrement quelques tentatives de login (bloquées après 5 tentatives). Mon besoin d'accès extérieur est uniquement lié à l'accès aux fichiers (à certains de mes dossiers du moins) ainsi que l'accès à download station. Il y a t-il un moyen d'ouvrir uniquement le NAS pour ces services ? 

Merci 🙂

 

Lien vers le commentaire
Partager sur d’autres sites

Tu as une option depuis peu dans "Panneau de configuration > Portail des applications > Porfil de contrôle d'accès" ou tu peux limiter des services par accès LAN et VPN uniquement.

Tu peux aussi limiter les services en n'ouvrant pas les ports sur ta partie routeur.

Ex: service FTP, tu ouvres pas le port 21.

Modifié par Zeus
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Il y a surement plusieurs méthodes. Moi je limiterais l'accès aux applications au groupe user et n'autoriserais que l'appli download Station et Filestation. 

Pour les tentatives d'intrusion on peut juste les limiter. Déjà il ne faut autoriser l'accès qu'aux pays de tes utilisateurs.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.