Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

pour la protection de compte et le blocage des IPs, je vois dans les journaux, pour mail server, des tentatives de connexion en échec. par contre, la fréquence des tentatives est très longue avec moins de 3 tests par jours.

avec un paramétrage 5 tentatives sur 10mn, les ip ne sont jamais bloquées et le scan peut continuer. en multipliant le nombre d'adresses IP sources, on peut se faire tester très longtemps et sur de multiples comptes ou sur un compte défini.

en utilisant mail serveur et une adresse nomducompte@domaine.xxx, le nom du compte est exposé. arriver à se connecter pour envoyer un mail, c'est avoir le login / mdp pour accéder au DSM (si pas double authentification)

J'avais un paramétrage à 5 tentatives / 10h, je suis passé à 5 / 100h pour voir

 

 

Lien vers le commentaire
Partager sur d’autres sites

Salut à tous

je suis extrêmement admiratif (je l'ai dit quand j'ai découvert ce fil) du travail fait par Fenrir, mais force est de constater que le fait de l'avoir suivi à la lettre n'a pas suffi. Le support technique  de Synology, suite à une anomalie de comportement (le système refusait de mettre à jour le paquet Service d'Applications Synology), est intervenu à distance et m'a informé que mon NAS avait été hacké.

Citation

 it seems your NAS had been hacked, there has .so file in your system and this file is not created by Synology.

ERROR: ld.so: object '/usr/local/lib/libkk.so' from /etc/ld.so.preload cannot be preloaded (file too short): ignored.

J'avais passé des jours à faire cette config, afin que personne, jamais, ne s'y infiltre, mais cela n'a pas été assez. Je suis bien conscient que nulle protection n'est parfaite, mais là, je suis découragé : étant loin d'être un spécialiste de l'informatique, n'ayant aucune connaissance particulière en réseaux (je sais faire marcher un Mac et une box, en gros) je n'ai pas les compétences nécessaires (et peu de gens les ont, du reste) pour augmenter la sécurité de mon installation.

Je pensais dire au revoir à Google Drive, à Apple Photos, à Google Calendar et à iCloud Contacts (bref : au Gafa), mais je réalise que je vais devoir limiter mon NAS à être un serveur 100% domestique, dédié à du stockage, du partage en local et —si possible sans créer une faille— être un serveur Plex accessible de l'extérieur.

Qui sait comment configurer un NAS pour faire juste cela, en toute sécurité, derrière une Livebox ?

Grand merci !

Lien vers le commentaire
Partager sur d’autres sites

D'après ce lien, cette faille est corrigée depuis un bail, et un DS218+ vient de base avec DSM 6.x je crois.

C'est très étonnant, si tu n'as pas exposé dangereusement ton NAS avant d'avoir bouclé la partie sécurisation, d'être victime de ce genre de chose. A ta place je vérifierais mon réseau local, car dans le tuto on ouvre tous les ports vers le LAN, et il est beaucoup plus facile d'être infecté sur un PC que sur un NAS.

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonjour,

Le 01/12/2016 à 19:33, Fenrir a dit :

Du point de vue confort, fiabilité et sécurité, l'attribution dynamique (DHCP) est recommandée

Sécurité je peux comprendre si l'IP change de temps en temps mais confort ?
C'est plus confortable d'avoir une IP fixe non ? J'ai un raccourci sur mon bureau avec l'IP en dur.
Sinon avec DHCP, c'est moins pratique, vous n'êtes pas d'accord ? Sinon comment faites-vous pour retrouver la bonne IP pour accéder au NAS ?

Le 01/12/2016 à 19:33, Fenrir a dit :

néanmoins, certains services nécessitent d'avoir une adresse IP fixe (c'est le cas du DKIM avec MailServer mais aussi du serveur DHCP et quelques autres applications), donc à choisir en fonction de vos besoins.

Il y en a d'autres ? Je n'utilise rien de tout ça mais j'ai paramétré une ip fixe. La différence d'un point de vue sécurité ne doit pas être si importante. Chez moi, avec ma box, les leases DHCP restent les mêmes pendant assez longtemps.

Le 01/12/2016 à 19:33, Fenrir a dit :

Si vous choisissez DHCP, fixez l'adresse dans votre serveur DHCP

Fixer une adresse DHCP ? En général, c'est DHCP qui attribue automatiquement une IP dans la plage définie...

Lien vers le commentaire
Partager sur d’autres sites

il y a 44 minutes, Syno415plus a dit :

Fixer une adresse DHCP ? En général, c'est DHCP qui attribue automatiquement une IP dans la plage définie...

On peut fixer une adresse IP pour un appareil dans le serveur DHCP (comme ça même si la machine est configuré en DHCP, elle à toujours la même IP, cela permet de rediriger des ports).

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Finalement j'ai basculé sur DHCP auto.

>>>Je ne redirige pas automatiquement les connexions HTTP vers HTTPS car je n'expose pas DSM directement sur Internet (il y a un serveur VPN pour ça), mais si vous le faites, activez la redirection.

Avec l'assistant sécurité, j'ai ce message qui ressort : "La redirection automatique de HTTP vers HTTPS est désactivée"
Je n'expose pas non plus DSM sur Internet donc je suppose que je peux laisser ainsi et enlever ce test ?
Quand à savoir ce qu'on entend par "exposer", je suppose que c'est tout un ensemble de configurations avec redirection de ports etc....je n'ai rien de tout ca donc je suppose que je peux partir du principe que DSM n'est pas exposé ?
 

Modifié par Syno415plus
Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, Syno415plus a dit :

Avec l'assistant sécurité, j'ai ce message qui ressort : "La redirection automatique de HTTP vers HTTPS est désactivée"
je suppose que je peux laisser ainsi et enlever ce test ?

On peut personnaliser le test en décochant certains points. (Conseil de sécurité - Avancé - Personnalisé)

Lien vers le commentaire
Partager sur d’autres sites

J'ai bien compris ça mais ce n'était pas ma question. Ma question était de savoir si je pouvais le désactiver. Pour le savoir, il faut pouvoir répondre à la question de savoir "on expose ou pas DSM sur Internet" pour reprendre le texte du tuto: c'était l'objet de ma question de savoir si mon DSM était exposé ou pas sur Internet. Comment le savoir ? 

Lien vers le commentaire
Partager sur d’autres sites

Si tu n'as pas utilisé "Configuration du routeur" dans DSM, que ton NAS est bien derrière une box et que tu n'as pas mis en place de routage de la box vers ton NAS on peut dire que ton NAS n'est pas exposé sur Internet.

Assure toi tout de même de la sécurité des autres équipements de votre réseau local et suis les règles de sécurité du tuto de Fenrir

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous. 

Merci pour ce tutoriel extrémement pratique.

J'ai une question cependant. Je l'ai appliqué à la lettre à l'exception du paramètre de parefeu qui bloque toutes les connexion venant d'internet car j'ai besoin e me connecter à diskstation et filestation via internet quand je ne suis pas chez moi.

Comment puis-je faire pour sécuriser le tout, tout en pouvant utiliser diskstation et filestation via internet svp ?

Merci.

Lien vers le commentaire
Partager sur d’autres sites

Citation

Comment puis-je faire pour sécuriser le tout, tout en pouvant utiliser diskstation et filestation via internet svp ?

Bonjour,

Il te suffit de suivre à la lettre le tuto et d'y ajouter tes propres règles en veillant à ce que la dernière soit sur refuser pour tous.

En aucun cas le tuto bloque les flux entrant venant de l'extérieur de ton réseau. Il restreint juste leurs accès par des zones géographiques et des ports.

Je suppose que tu n'as pas besoin d'autoriser les flux entrants depuis la Côte d'Ivoire ou le Japon 🙄

Modifié par unPixel
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...
Le 18/10/2019 à 07:48, unPixel a dit :

Bonjour,

Il te suffit de suivre à la lettre le tuto et d'y ajouter tes propres règles en veillant à ce que la dernière soit sur refuser pour tous.

En aucun cas le tuto bloque les flux entrant venant de l'extérieur de ton réseau. Il restreint juste leurs accès par des zones géographiques et des ports.

Je suppose que tu n'as pas besoin d'autoriser les flux entrants depuis la Côte d'Ivoire ou le Japon 🙄

Salut ! 

même problématique que shunfx. J'ai bien suivi le tutoriel, toutefois si j'applique la dernière règle "refuser tous" impossible d'accès au DSM en DDNS...

Ci-joint ma configuration firewall.

Quelqu'un à une idée de ce qui cloche ?

Merci d'avance

Christophe 

Capture d’écran 2019-10-31 à 17.56.12.png

Lien vers le commentaire
Partager sur d’autres sites

Hello @Christophet

Place ta 1ère règle 1 cran au-dessus de celle du VPN.

J’espère que cette règle n’ouvre que le port 5001 ...

Tu peux supprimer ta règle pour le réseau 192.168.5.0/24. Tu as déjà celle en 192.168.0.0/24 qui fait le job.

Modifié par Varx
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...
Le 01/12/2016 à 19:33, Fenrir a dit :

nb : si vous souhaitez faire de l'IPv6, pensez à ajouter les adresses locales (fe80::/10 et ff00::/8)

Hello,

J'avoue ne pas être sur de comprendre.

Il faut rajouter ceci en Hote Unique ?

Mon adresse ipv6 de ma box commence par fe80 ...

Lien vers le commentaire
Partager sur d’autres sites

Petite correction :

Le 31/10/2019 à 22:51, Varx a dit :

Tu peux supprimer ta règle pour le réseau 192.168.5.0/24. Tu as déjà celle en 192.168.0.0/2416 qui fait le job.

😉

Il y a 10 heures, EVOTk a dit :

Il faut rajouter ceci en Hote Unique ?

Non, il s'agit de réseaux.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

je reprends un peu ma config pour être moins dépendant de quickconnect 🙂

Comment peut on interdire l'acces SSH sur le net ? suffit de ne pas faire de NAT dans le routeur ?

Je me connecte depuis mon NomNas.synology.me cependant je n'ai plus acces à DS photo que se soit par DSM ou par application . pouvez vous me dire comment faire ? il faut faire du NAT sur le routeur mais comment trouve t'on le bon port ?

Modifié par dimgod59
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir à tous,

Avec mon Nas je rencontre des petits problèmes, je m'explique

Mon Nas est configuré avec des Target / Lun que je connecte sur des serveur Mac, et pour de plus de sécurité le pare-feu est activé avec la redirection sur le routeur.

Mon problème c'est que les Lun monté sur l'ordinateur fonctionne quelques jours et ce déconnecte sans raison particulière mais le problème c'est surtout qu'il m'est impossible de re connecter les Lun avec le pare-feu d'activé, je dois désactiver le Pare-feu quelques minutes afin d'allez sur les postes Serveur afin de re reconnecter manuellement, une fois l'opération effectué, je réactive le pare-feu et je suis tranquille quelques jours ..

Avez vous une idée ? je vous met ci dessous mon réglage de pare-feu sur le Nas

J'ai un total de 3 Lun monté sur 3 ordinateurs différents et tous ce déconnecte

Merci pour vos lumières 

 

 

 

Capture d’écran 2019-11-28 à 21.32.46.png

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Suite aux divers Tutos suivis sur ce forum au sujet de :
- la sécurisation,
- le Reverse Proxy,
- le VPN,

(merci aux auteurs !)

Je me pose un certain nombre de questions :

Dans un premier temps sur la sécurité et le Reverse Proxy :

Pour accéder au NAS :

  • pour DSM : j'accède en VPN depuis l'extérieur ou en local depuis chez moi pour l'administration.
  • pour Audio Station, Video Station, Calendar, File Station : j'accède via le Reverse Proxy depuis l'extérieur ou en local (mais sans VPN).

    => est-ce que cela un sens de fonctionner comme cela ?
    => est ce acceptable au niveau sécurité ?

Merci d'avance pour le partage de vos avis et expériences.

Erland.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

L’accès à distance ne fonctionne plus.

De retour à la maison j'ai vérifié les config du nas, puis la redirection des ports de la freebox. Je trouve les redirections en rouge avec un triangle orange. La recherche sur internet relate des dysfonctionnement lors de la migration vers une offre fibre, ce n'est pas mon cas. J'ai supprimé la redirection du port 80 et tenté de la re créer, sans succès, je ne peux pas sauvegarder la redirection.

Je précise que il y a eu une intervention de techniciens sur le réseau à l'extérieur de la maison, je ne sais pas dire si le pb en résulte.

Je vous remercie pour votre aide.

 

Capture d’écran (4).png

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.