Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

merci pour votre réponse. 

Il y a 2 heures, Mic13710 a dit :

Vous faite exactement les mêmes entrées.

donc je dois rentrer exactement les mêmes règles que dans le Tuto... J'ai mal interprété le message de piwi... je pensais qu'il fallait que je comprenne chaque règle pour les adapter à ma propre situation.

Donc ça veut dire que si je rentre la règle 192.168.0.0 cela donnera forcément l'accès à mon réseau privé? même si les 2 derniers chiffres de ma propre IP sont différents?

Juste pour comprendre ce que je fais:

- pourquoi cette règle me protège vu que l'IP de mon réseau local n'est pas renseignée?

- à quoi correspondent les 2 autres règles (IP 10.0... et 172.16...)? 

Merci d'avance

 

Cordialement 

Lia

mais les mêmes entré

 

 

Modifié par lia
Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, lia a dit :

je dois rentrer exactement les mêmes règles que dans le Tuto.

Ce sont toutes les plages des adresses IPV4 privées. Un peu de lecture : https://fr.wikipedia.org/wiki/Réseau_privé

Ces règles ne sont pas là pour protéger mais au contraire pour donner l'accès libre à toutes les adresses privées sans restriction. Si vous ne les mettez pas et que le parefeu est activé, vous ne pourrez pas atteindre le NAS. Les règles qui doivent vous protéger sont celles que vous mettrez après pour autoriser ou bloquer l'accès au NAS pour certaines applications et/ou pour des zones géographiques. La dernière règle est importante pour bloquer tout ce qui n'est pas autorisé.

Lien vers le commentaire
Partager sur d’autres sites

Merci!

Il y a 8 heures, Mic13710 a dit :

Ce sont toutes les plages des adresses IPV4 privées. Un peu de lecture : https://fr.wikipedia.org/wiki/Réseau_privé

Ces règles ne sont pas là pour protéger mais au contraire pour donner l'accès libre à toutes les adresses privées sans restriction. Si vous ne les mettez pas et que le parefeu est activé, vous ne pourrez pas atteindre le NAS. Les règles qui doivent vous protéger sont celles que vous mettrez après pour autoriser ou bloquer l'accès au NAS pour certaines applications et/ou pour des zones géographiques. La dernière règle est importante pour bloquer tout ce qui n'est pas autorisé.

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour, j'ai merdé en suivant le tuto et je n'ai plus accés à mon NAS. Comment peut-on le récupérer? Le remettre d'origine sans perdre ces dossiers. Je pense que j'ai dû bloquer les ports, je ne sais pas ou que je me suis enlevé les droits admin...

Merci pour votre aide

David.

Edit: j'ai trouvé un truc, Je vais tenter un reset...

Modifié par Bikk
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

As-tu une sauvegarde ? Si oui "c'est bien" si non "tu devrais"

Essaie de te reconnecter avec Synology Assistant.

Sinon effectue un simple reset (introduire un trombone à l'arrière du syno dans le petit trou marqué reset ...attendre 3 à 4 secondes et retire le trombone immédiatement après le bip)

Retente Synology Assistance.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

c'est encore moi! désolé pour les multiples questions, mais quand j'ai acheté ce NAS je ne pensais pas que ce serait si compliqué! enfin bon, je crois que j'en vois le bout. mais j'ai quand même quelques doutes.

1. 

Le 01/12/2016 à 19:33, Fenrir a dit :

e n'expose pas DSM directement sur Internet

est ce que ça veut juste dire que tu n'accèdes pas à DSM depuis l'extérieur? est ce que c'est possible d'aller plus loin et de rendre impossible l'accès au DSM depuis l'extérieur? (et de rendre juste possible l'accès aux applications: audio, video, photo et drive). Je pensais que c'était le but des pare-feu et du tutoriel reverse proxy (que j'ai suivi). Mais, quand je tape "ndd.fr" (ou https://ndd.fr:443) sur mon tel (non connecté au wifi local) je tombe sur la page de connexion de mon NAS. est ce que c'est parce que j'ai ouvert le port 443 pour faire du reverse proxy? mais comment éviter l'accès au DSM depuis l'extérieur?

voici mes paramètres de pare-feu:

1698407884_Sanstitre3.jpeg.1cfea1c3bf389f899b1fd9dc3daab675.jpeg

 

Merci d'avance

 

Lia

DWSM 218Play

Modifié par lia
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Citation

c'est encore moi! désolé pour les multiples questions, mais quand j'ai acheté ce NAS je ne pensais pas que ce serait si compliqué!

Nous sommes là pour ça sinon nous ferions comme la plupart des inscrits et ne viendrions que pour se faire aider 😉

Citation

est ce que ça veut juste dire que tu n'accèdes pas à DSM depuis l'extérieur?

Ca veut dire qu'il limite les services à un accès VPN depuis l'extérieur 😉

Citation

est ce que c'est possible d'aller plus loin et de rendre impossible l'accès au DSM depuis l'extérieur?

Tout à fait.

Tu as deux possibilités :

  • Soit tu ne veux pas du tout d'accès à l'extérieur pour tel ou tel domaine et dans ce cas, la procédure et ci-dessous.
  • Soit tu ne veux pas du tout d'accès à l'extérieur pour tous les services et dans ce cas, tu n'ouvres aucun port sur ton routeur !

Procédure pour limiter certains services :

Panneau de configuration > Portail des applications > Profil de contrôle d'accès

Tu créés un nouveau profil puis tu cliques sur "Créer".

Là, tu dois indiquer les plages IP d'un réseau local ainsi que d'un accès VPN comme sur le tuto que tu viens de suivre.

Tu finis par une dernière règle en mettant refuser à tout.

Ensuite, tu retournes sur tes règles reverse proxy et tu ouvres celle que tu veux limiter.

Et tu verras en dessous de HTTP/2 une option "Activer le contrôle d'accès". Tu coches cette option et tu sélectionnes le profil que tu viens de créer. Et voilà, le service sera limité en accès au réseau local ou via un accès VPN uniquement.

Si tu testes de l'extérieur le domaine, tu verras que ça te renvoi une erreur.

Lien vers le commentaire
Partager sur d’autres sites

Hello,

 

merci! grâce à tes conseils j'ai retrouvé un autre tutoriel qui indique comment rentrer la plage IP. mais avant de faire une bêtise je voudrais quand même vérifier parce que mon cas est un peu différent que le tutoriel.

 

Donc dans contrôle d'accès j'ajoute:

IP: 192.168.0.0/16 --> autoriser (ou est ce que je dois être plus précise en utilisant que le pool d'address IP de ma box: 192.168.x.0/xxx?))

Ip:tous --> refuser

(je vais passer pour le VPN... trop compliqué!)

 

Ce que je voudrais fermer depuis internet c'est l'accès à ndd.fr 

Or les seules règles reverse proxy que j'ai créé sont pour: "music.ndd.fr", "drive.ndd.fr" et "audio.ndd.fr". je ne veux pas créer de restriction pour ca.

je n'ai pas créer de reverse proxy pour ndd.fr (d'ailleurs je ne sais vraiment pas pourquoi quand je tape https://ndd.fr:443 je tombe sur mon NAS/ c'est normal? j'espère que j'ai pas créé un autre problème!).

 

Pour faire marcher le contrôle d'accès si je comprend bien je dois créer un reverse proxy pour "ndd.fr":

Source:

- protocol: https

- nom d'hôte: ndd.fr

- port:443

 

destination:

- protocol: http

- nom d'hôte: localhost

- port: 80

et j'applique le profil de contrôle d'accès que tu m'as indiqué

 

est ce que c'est bien ça? ca veut dire qu'il sera impossible d'accéder à mon DSM ailleurs que sur le réseau local

 

PS: malheureusement, vu mon niveau en informatique, je pense que je resterai à jamais celle qui a besoin d'aide 🙂

Merci

Lia

Lien vers le commentaire
Partager sur d’autres sites

Citation

IP: 192.168.0.0/16

Si ta plage IP est en 192.168.x.x alors oui 😉

Citation

Ce que je voudrais fermer depuis internet c'est l'accès à ndd.fr 

Il amène à toi ce domaine ? Logiquement, il devrait amener à WebStation donc rien de grave.

Citation

Pour faire marcher le contrôle d'accès si je comprend bien je dois créer un reverse proxy pour "ndd.fr":

Ton domaine est déjà redirigé par ton registrar, tu n'as pas de règle proxy à créer sur ce domaine.

Citation

est ce que c'est bien ça? ca veut dire qu'il sera impossible d'accéder à mon DSM ailleurs que sur le réseau local 

Quand tu parles de DSM, tu parles bien de l'interface ou l'on peut accéder à la config utilisateur ?

Si oui, alors c'est pas ce domaine que tu dois bloquer mais le domaine qui redirige sur le port 5000-5001.

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 33 minutes, Zeus a dit :

Il amène à toi ce domaine ? Logiquement, il devrait amener à WebStation donc rien de grave.

c'est peut être là le problème... Il emmène à la page d'accès du NAS. 

il y a 33 minutes, Zeus a dit :

Quand tu parles de DSM, tu parles bien de l'interface ou l'on peut accéder à la config utilisateur ?

oui c'est ça. et je veux bloquer cette interface. Je pensais que c'était normal que ndd.fr me conduise à cette interface vu que c'est le nom de domaine que j'ai activé sous "paramètres de DSM".

et suite à ton premier conseil je comptais appliquer ça:

avec ces infos:

Source:

- protocol: https

- nom d'hôte: ndd.fr

- port:443

et j'applique le contrôle d'accès

destination:

- protocol: http

- nom d'hôte: localhost

- port: 80

 

il me semble que c'est un vrai pb de sécurité si mon nom de domaine mène directement à l'interface du NAS non? 

du coup soit je trouve pourquoi ndd.fr mène à l'interface et pas à webstation et je corrige (mais je ne sais vraiment pas ce que j'ai fait de travers!). soit je bloque ndd.fr comme indiqué au-dessus?

 

 

Je n'ai jamais créé d'autre nom de domaine. Donc je ne vois quel autre domaine pourrait rediriger ver les ports 5000 et 5001.

Dans le par-feu, à part le réseau local je n'ai autorisé aucune IP à accéder aux ports 5000 et 5001.

 

merci

Lia

Modifié par lia
Lien vers le commentaire
Partager sur d’autres sites

Citation

c'est peut être là le problème... Il emmène à la page d'accès du NAS. 

Tu peux être plus précise stp ?

Citation

oui c'est ça. et je veux bloquer cette interface. Je pensais que c'était normal que ndd.fr me conduise à cette interface vu que c'est le nom de domaine que j'ai activé sous "paramètres de DSM".

Justement, je crois si mes souvenirs sont bons que de base, le domaine de base doit atteindre webstation et non DSM.

Citation

et suite à ton premier conseil je comptais appliquer ça:

C'est justement ce que j'ai expliqué plus haut 😉

Citation

il me semble que c'est un vrai pb de sécurité si mon nom de domaine mène directement à l'interface du NAS non?  

En effet, il n'est pas recommandé de laisser l'accès facile à cette page.

Citation

du coup soit je trouve pourquoi ndd.fr mène à l'interface et pas à webstation et je corrige (mais je ne sais vraiment pas ce que j'ai fait de travers!). soit je bloque ndd.fr comme indiqué au-dessus?

Je ne connais pas ta configuration, je ne peux donc pas te dire.

Citation

Dans le par-feu, à part le réseau local je n'ai autorisé aucune IP à accéder aux ports 5000 et 5001.

fais moi une capture de ton pare feu stp ainsi que celui de ton routeur. Merci

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, Zeus a dit :

Tu peux être plus précise stp ?

eh bien si le ndd.fr ne renvoie pas à mon interface je n'ai plus besoin de le bloquer et mon problème serait résolu.

 

voici les configurations que j'ai faite en suivant le tutoriel sécuriser le NAS, reverse proxy et créer un nom de domaine:

 

2. configuration du routeur

J'ai indiqué les infos suivantes dans le routeur (pour IP privé j'ai indiqué l'IP fixe du NAS)

405224310_Sanstitre5.jpeg.13b0ea4afb4e9097d69acccc792b6e56.jpeg

pareil pour le port 443

 ça done ça:

856037872_Sanstitre9.jpeg.36bdf15a3deba749a117498498a75b70.jpeg

3. configuration du pare feu

j'ai créé les règles en utilisant pour ports "sélectionner à partir d'une liste d'application" (correspondant au port 80 et 443). Est ce que le problème peut venir de là ?

ça donne ça:

1752437746_Sanstitre3.jpeg.0320e78ea830e57acd66d73f5da0f8b4.jpeg

 

4. reverse proxy: 3 règles créées pour audio, video et drive 

5. pour le certificat: après tes conseils ça marche 

6. Une fois le site web personnel activé, je ne suis pas arrivée à faire l'étape suivante:

Le 20/02/2018 à 09:11, Kawamashi a dit :

Le fichier index.html est la page d'accueil du site hébergé sur le NAS. On peut en profiter pour modifier ce fichier afin que notre page d'accueil présente plusieurs liens permettant de se connecter aux différents services présents sur le NAS.

 Sinon j'ai crée le fichier .htaccess directement dans le dossier web grâce à l'éditeur de texte.  Par contre je n'ai rien changé. J'ai copié exactement le code indiqué dans le tutoriel. 

 

merci 

Lia

 

Modifié par lia
Lien vers le commentaire
Partager sur d’autres sites

  1. Pas la peine de cacher ton IP privée (celle du NAS). Personne peut rien en faire...
  2. Ok, donc tu n'as que le port 80 et 443 d'ouvert.
  3. A quoi correspond les règles HTTPS, Reverse Proxy ? Elles ne seraient pas de trop ? Web Station et Photo Station ouvre déjà le port 80 et 443 normalement.
  4. Pas compris ton .6
Lien vers le commentaire
Partager sur d’autres sites

re-1. bon à savoir 😉

re-3. webstation, photosation à 80 et https à 443

11.jpeg.2bf6acaa0c67902a069fe05277333fb7.jpeg

 

4. je fais reference à l'étape 6 de ce tutoriel:

Il est écrit:

Une fois que c'est fait, on passe à la partie "Paramètres généraux". On sélectionne les versions les plus récentes d'Apache et de PHP, puis on coche la case "Activer un site web personnel" (ce n'est possible que si on a installé les 2 versions d'Apache et de PHP à l'étape précédente).

On n'a pas besoin de changer les paramètres PHP ou de créer un Virtual Host (à moins d'avoir plusieurs sites web à héberger sur le même NAS).

Avec l'installation de Web Station, un dossier Web a été créé à la racine du volume. Le fichier index.html est la page d'accueil du site hébergé sur le NAS. On peut en profiter pour modifier ce fichier afin que notre page d'accueil présente plusieurs liens permettant de se connecter aux différents services présents sur le NAS.

Pour mettre en place la redirection automatique, il faut créer un fichier .htaccess. Pour ça, il faut créer un fichier texte dans le dossier Web. A l'intérieur de ce fichier, on écrit le code suivant :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

On enregistre sous ".htaccess" (donc sans nom mais juste avec l'extension htaccess).

 

Je ne sais pas comment modifier le fichier. Mais si c'est juste une question de confort et que ça n'affaiblit pas la sécurité je peux me passer de cette étape. 

Pour le fichier .htaccess, j'ai copié à l'identique le code

 

 

5. donc j'ai toujours mon problème d'interface DSM accessible depuis l'extérieur et je ne sais pas pourquoi. j'ai essayé de faire different tests:

a. quand je tape www.ndd.fr j'arrive sur webstation (voir dessous). c'est ce que tu voulais dire? effectivement si ça reste comme ça, il n'y a pas l'air d'avoir de risque. 

1357644373_Sanstitre8.jpeg.f2c261a595c4934d5f5ed72b29cee0a9.jpeg

 

b. par contre toujours le même problème quand je tape http://ndd.fr ou https://ndd.fr la je peux accéder à l'interface.

 

Merci

 

Lia

 

Lien vers le commentaire
Partager sur d’autres sites

Je voulais juste faire une petite remarque concernant la méthode pour prendre en compte le tuto ( et d’ailleurs tous les tutos) : toujours tester si un étape fonctionne correctement avant de passer à la suivante ...

Par exemple, si sans aucun test intermédiaire, on met en place par exemple :

  • Un nom de domaine
  • Des redirections de ports
  • Une redirection HTTP vers HTTPS
  • Un reverse proxy
  • Un firewall

il y a fort peu de chance que cela fonctionne. Et trouver où est l'erreur devient un vrai jeu de piste ...

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Je lis attentivement les supers tutos réalisés. 

Je commence à me pencher sur le reverse proxy et j'ai donc deux questions à ce sujet :

1) Pourquoi est il conseillé d'utiliser un nom de de domaine venant d'un fournisseur autre que Synology ? Si j'ai bien compris Synology propose bien de le faire avec un nom de domaine en synology.me mais cela ne semble pas conseillé.

2) Au niveau sécurité, le reverse proxy est conseillé comparé à l'ouverture simple d'un port via l'ip de ma box. Pourtant, étant chez orange ma box a une IP dynamique.

Pour accéder à mon NAS je suis donc obligé de la connaitre (mais cela est très rapide pour moi même de l'extérieur via l'appli "Ma livebox") puis je précise le "port exotique" que j'ai défini en NAT/PAT pour accéder à DSM.

Ma question sur ce point est simple : mon IP de livebox changeant régulièrement, cela n'est il finalement pas plus sécurisé que d'avoir un nom de domaine qui peut être trouvable et qui permettrait à un hacker de travailler longuement dessus pour tenter de rentrer ? Avec mon IP dynamique, lors de son changement c'est comme si je déménageais sans laisser de trace non ? 

Merci par avance pour vos précisions.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

  1. Pas fiable. Service souvent en rade et au moins, ton nom de domaine est à toi.
  2. Lit mon tuto sur le nom de domaine 😉 Le faite d'avoir une IP d'ynamique ne change absolument rien !
  3. Fonction DDNS fait que tu n'as plus à la connaître...
  4. Aucun rapport avec les changements d'IP. Si un hacker t'a dans son viseur, il aura en permanence ton IP... Ne t'inquiète pas pour ça.

J'ajouterais que les NAS Syno en terme de sécurité sont fiables. On le saurait si il était facile de rentrer dedans !

Pour les rares ici qui rencontrent des soucis de sécurité, on se rend vite compte qu'ils ont soit mal configurés leur NAS, soit le soucis vient d'un ordinateur etc... Et bien souvent, c'est à cause d'une erreur humaine !

Si tu suis les tutos à la lettre, tu ne crains pas grand chose (pour le moment en tout cas).


Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Cela fait quelques mois que j'ai appliquer le tuto et que je suis en possession du ds218, j'ai suivi le(s) TUTO en tout genre en s’intéressant et en comprenant (le pourquoi du comment).
J'en profite pour remercier FENRIR ainsi que tout ceux qui prennent le temps de faire des bons/Beau Tuto MERCI !!!

- Je suis un particulier qui numérises des docs (fiche de paie, impôt...), j'aimerai avoir votre avis concernant la sécurité des docs si je les mettais sur le NAS.
- Comme j'ai pu voir (le risque zéro n’existe pas).
- J'utilise beaucoup les application Android en extérieur en passant en HTTPS et NDD (synology.me).
 

Infos de ma config :
- FAI -> DS218 -> WIFI-> PC&android (NAs Familial)
- port ouvert au net (FAI) 80 & 443

- Parefeu NAS fermer au monde sauf local & france (pour faire simple)
- HTTPS et let's encrypt (OK)
- VPN (syno ou non) & Reverse Proxy (PAS sentie le besoin)

Ma question est la suivante :

Peut-on s'introduire par le net et consulter, modifier... les docs qui se trouve sur le nas ? Quel chance ais-je que cela se produise ?


Sachant que pour l'instant je sauvegarde manuellement les docs administratif sur un clée USB sandisk avec leur logiciel de chiffrement fournit avec la clée usb, puis rangé dans un placard.


Pour moi cette question est légitime il s'agit de papier privée et en parcourant le net je n'est pas trouver cette réponse encore.

Merci d'avance.


 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Les nouveaux membres sont invités à se présenter 🙂

Présentation - NAS-Forum

Citation

Peut-on s'introduire par le net et consulter, modifier... les docs qui se trouve sur le nas ? Quel chance ais-je que cela se produise ?

Pour moi cette question est légitime il s'agit de papier privée et en parcourant le net je n'est pas trouver cette réponse encore. 

Moi j'ai essayé de parcourir le net pendant des mois pour savoir quand ma mort surviendrai mais je n'ai pas non plus trouvé d'informations à ce sujet 🙄

Plus sérieusement, le risque zéro n'existe pas ! Aujourd'hui tu es à l'abri, demain, peut-être pas.

Ça dépend d'énormément de choses. Et oui c'est possible !

Si maintenant, tu ne veux prendre aucun risque et ça peut se comprendre selon l'importance que l'on donne à nos données quel qu’elles soient, alors débranche ton NAS d'internet.

Modifié par Zeus
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.