Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

Il y a 11 heures, Jeff777 a dit :

Bonjour,

...

Mon langage n'est pas très technique mais je l'espère à peu près clair.

Bonjour Jeff,

Si merci ton explication est parfaitement clair. C'est cette histoire de fichier htaccess qui me fait un peu peur. On ne l'a retrouve pas dans tous les tutos, c'est du bonus ? Parce que de ce que j'ai compris si il y a que le port 443 qui est ouvert sur l'extérieur il y aura que du https qui pourra y "entrer". Si oui, je comprend alors le non risque de désactiver l'option http->https dans (réseau/paramètre du DSM).

J'ai bon ?

Lien vers le commentaire
Partager sur d’autres sites

Oui si tu n'ouvres que le port 443 il n'y aura que du https qui pourra rentrer mais si tu ouvres le port 80 et que tu installes un fichier htaccess avec redirection alors tout ce qui entre passera en https et la connexion sera sécurisée. Les deux solutions se valent d'après moi (à confirmer par plus qualifié que moi) celle avec le htaccess est plus tolérante en cas d'oubli du https dans l'adresse.

Il y a des tas de post sur comment faire un htaccess.

Lien vers le commentaire
Partager sur d’autres sites

Ok merci de ton retour ! Je vais déjà tout paramétrer sans le htaccess et voir après. Ma compréhension se fait petit à petit 😌.

Pour le moment je vise l'ouverture sur mon routeur uniquement du 443 et 80 mais le 80 est filtré par le firewall du NAS avec juste l'IP de Let's Encrypt. Je n'ai pas d'autre application qui l'utilise (pour l'instant). 

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Salut à tous

"un petit coup de main, j ai activé HTTPS et maintenant je suis bloqué avec mon navigateur , une idée SVP merci" résolu....

 

"le savoir ne vaut que si il est partagé" Un grand merci à DaffY

Modifié par jmy06
résolution
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

J'ai bien suivi ton tuto pour mettre en place la sécurité de mon NAS DS218j.

Tout c'est bien passé jusqu'à la vérification  en deux étapes. J'ai bien reçu le code via google authentificator que j'ai rentré sur l'appli.

Je me suis déconnecté et là au moment de rentrer le code on me dit qu'il est erroné. Je n'ai donc plus d'accès admin à mon NAS. 

je me suis fait envoyé le code de sécurité sur ma boite mail mais ce code aussi est erroné. 

Quelqu'un a une solution ?

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 24 minutes, jerome34000 a dit :

Bonjour,

J'ai bien suivi ton tuto pour mettre en place la sécurité de mon NAS DS218j.

Tout c'est bien passé jusqu'à la vérification  en deux étapes. J'ai bien reçu le code via google authentificator que j'ai rentré sur l'appli.

Je me suis déconnecté et là au moment de rentrer le code on me dit qu'il est erroné. Je n'ai donc plus d'accès admin à mon NAS. 

je me suis fait envoyé le code de sécurité sur ma boite mail mais ce code aussi est erroné. 

Quelqu'un a une solution ?

 

Problème résolu par la FAC Synology

Lien vers le commentaire
Partager sur d’autres sites

Le 12/02/2020 à 21:13, Remi7449 a dit :

Ok merci de ton retour ! Je vais déjà tout paramétrer sans le htaccess et voir après. Ma compréhension se fait petit à petit 😌.

Pour le moment je vise l'ouverture sur mon routeur uniquement du 443 et 80 mais le 80 est filtré par le firewall du NAS avec juste l'IP de Let's Encrypt. Je n'ai pas d'autre application qui l'utilise (pour l'instant). 

Je cherche l'IP de Let's Encrypt mais les informations que je trouve indiquent qu'ils sont en IP dynamiques. Comment as-tu fait ?

Lien vers le commentaire
Partager sur d’autres sites

Pour la première fois, j'ai reçu une alerte du conseillé sécurité. Ceci faisant suite à la mise en application de plusieurs tutos, au demeurant très bien fait et compréhensibles.

Le rapport indique deux alertes

La première concerne la non activation du blocage des adresses IP avec plusieurs erreurs de connexion. cela c'est réglé.

La seconde concerne le port SSH dont je n'ai pas changé la valeur par défaut (22).

J'ai fait une recherche par mot clé avec SSH mais je n'ai rien trouvé.

EN recherchant j'ai trouvé ceci : https://www.tuto-synology.fr/terminal/service-ssh/#.Xorb4zfVI2w. il est indiqué qu'il faut activé le port 22. 

Quelqu'un peut-il m'aiguiller 

Bonne journée à tous 

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 4 minutes, jerome34000 a dit :

La seconde concerne le port SSH dont je n'ai pas changé la valeur par défaut (22).

Effectivement on recommande de ne pas utilisé les ports par défaut ( et c'est valable pour tout ).

Tu peut le modifier dans Panneau de Config > Terminal

Malgré tout, ci votre port n'est pas exposé a sur internet, il n'y a pas de soucis.

Lien vers le commentaire
Partager sur d’autres sites

En fait ça ne simplifie pas les accès, c’est même plutôt tout le contraire.

L’avantage du NAT en IPv4 est justement que l’ont sait exactement ce qui est ouvert sur internet, mais ça a tout de même des limitations par rapport à IPv6 (un seul équipement derrière chaque port, ...). 

En IPv6 chaque équipement du réseau doit disposer d’un pare-feu pour bloquer le trafic entrant indésirable. C’est d’ailleurs ce qui pose problème d’entrée de jeu avec les objets connectés mal sécurisés qui deviennent alors des points d’entrée sur tout le réseau local.

Dans l’ideal, il faut un pare-feu en amont des équipements locaux sur lequel on peut définir des règles de filtrage (ce qui rejoint la complexité qui tu voyais en IPv4). Mais ce n’est pas toujours possible, le cas le plus lamentable étant celui de la Freebox sur laquelle il n’est pas possible de définir des règles de filtrage en IPv6, il y a juste un gros switch on/off du filtrage des connexions entrantes.

Donc attention, il y a beaucoup de choses à considérer avant de passer à IPv6. Ce n’est pas insurmontable mais il faut bien comprendre les enjeux de sécurité que ça implique sans quoi votre réseau local peut rapidement est compromis.

Lien vers le commentaire
Partager sur d’autres sites

Merci pour ces précisions intéressantes.

 

Je comptai ne mettre que le NAS en IPv6 et il a un pare-feu. Mais si ça ne simplifie pas plus que ça, autant rester en IPv4.

Je vais quand même continuer de préparer le terrain de l'ipV6, en checkant si mes équipements sont équipés de pare-feu (cam, switch)

Lien vers le commentaire
Partager sur d’autres sites

Le 01/12/2016 à 19:33, Fenrir a dit :

(le port 80 doit être ouvert le temps de la génération du certificat et tous les 3 mois pour son renouvellement)

Bonjour,

Est il possible d'utiliser un planificateur de tache pour automatiser cette démarche ?

Au passage, si ce n'est pas abuser, je suis également preneur d'une explication avec les mains sur la dangerosité de l'utilisation de certificats auto signés et/ou l'acceptation d’exceptions dans le navigateurs.

Merci d'avance,

Lien vers le commentaire
Partager sur d’autres sites

@cpc44

  1. Pour le routeur : Panneau de configuration / Services / System Services --> décocher SSH
  2. Pour le NAS : Panneau de configuration / Terminal & SNMP / Terminal --> décocher SSH
  3. et dans le parefeu : pas de règle sur le port 22

Cordialement

oracle7 😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Hello @cpc44,

Je suis novice donc toutes mes propositions sont à vérifier avec des personnes plus expérimentées.

Tu peux éditer des règles dans le pare-feu : tu peux par exemple choisir d'ouvrir les ports des services que tu souhaites utiliser (SSH pour toi) et limiter l'ouverture à certains IPs et/ou certaines géographie.

Il te faut alors choisir les IPs locales :

- 172.16.0.0 avec un masque 255.240.0.0 soit des IP allant de 172.16.0.0. à 172.31.255.255
- 192.168.0.0 avec masque 255.255.0.0 soit des IP de 192.168.0.0 à 192.168.255.255

- voire, si tu utilises un VPN, 10.0.0.0 avec un masque 255.0.0.0 soit les IP allant de 10.0.0.0 à 10.255.255.255

Il ne faut pas oublier de créer une règle en bas de liste (intervenant donc après la réalisation des autres règles) qui bloque tous les IPs (en fait tous ceux que tu n'as donc pas explicitement autorisées grâce à tes précédentes règles).

Concrètement sur ton DSM tu vas dans Panneau de Configuration > Sécurité > Pare Feu > Modifier les règles > Créer


En espérant t'aider

Lien vers le commentaire
Partager sur d’autres sites

il y a 14 minutes, cpc44 a dit :

pour que le service SSH ne soit accessible que depuis mon réseau local

Il suffit de ne pas l'ouvrir dans le routeur. Vous l'ouvrez seulement dans le nas (Terminal et SNMP) et si vous avez réglé votre parefeu comme préconisés dans le tuto, vous n'avez pas besoin de faire quoi que ce soit à ce niveau.

il y a 8 minutes, cpc44 a dit :

j'ai eu un alerte en faisant une analyse avec le conseiller de sécurité.

Voir la fin du tuto

Lien vers le commentaire
Partager sur d’autres sites

@cpc44

Je ne comprends pas, tu demandes d'un coté comment interdire l'usage du protocole SSH sur ton réseau local, et d'un autre tu l'as ouvert aux quatre vents de l'extérieur dans ton parefeu ???

C'est pas cohérent, mais si c'est ton choix ....

Edit : Oups , j'ai lu trop vite ta demande initiale, tu ne veux pas interdire SSH sur ton réseau local. Donc oublies STP ma remarque et suis celle de @Mic13710

Cordialement

oracle7 😉

 

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.