Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

il y a 1 minute, kroumi a dit :

l'analyse du conseiller de sécurité remonte que la redirection automatique de HTTP vers HTTPS est désactivée. Donc comment @Fenrirfait-il pour avoir une analyse clean sans avertissement ?

Bonsoir,

Tu peux personnaliser l'analyse. (Avancé > personnalisé > personnaliser la liste de contrôle)

Lien vers le commentaire
Partager sur d’autres sites

il y a 10 minutes, maxou56 a dit :

la redirection automatique de HTTP vers HTTPS est désactivée

Il faut aussi coché celle-ci si tu ne veux plus l'avertissement.

Tu accèdes a ton NAS à distance? Si oui tu as mis en place l'autre méthode pour rediriger le Http en Https?

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Bonjour @maxou56,

Non pour l'instant je n'ai pas encore fait d'accès à distance avec ces nouveaux paramétrages.

Je vais mettre en place le reverse proxy. Et pour accéder je taperai https/*.NDD.

La technique du htacess est trop compliquée pour moi . Je pourrais l'appliquer, mais je préfère pas le faire je ne comprends pas ce qui est écrit dans le programme.

Par contre dans la méthode de sécurisation , je ne comprends pas non plus pourquoi on met en place un admin qui a des droits restreints alors que si qqn arrive à se connecter en tant qu'admin il suffit qu'il se rétablisse les droits. Donc pour ma part je n'ai pas restreint les droits admin comme dans le préconise @Fenrir

 

Lien vers le commentaire
Partager sur d’autres sites

@kroumi

Bonjour,

il y a 41 minutes, kroumi a dit :

Je pourrais l'appliquer, mais je préfère pas le faire je ne comprends pas ce qui est écrit dans le programme.

Si je peux me permettre, tu te prends la tête pour rien. Pour ton information, le code du fichier .htaccess ne fait ni plus ni moins, que réécrire automatiquement de façon totalement transparente pour toi, l'entête http de toutes les requêtes Web que tu émets, en https comme si tu les émettais toi directement en https. C'est tout.

Pour mettre en place cela, c'est on ne peut plus simple et parfaitement décrit dans le TUTO Reserve Proxy, alors pourquoi te priver de cette possibilité qui va de paire avec le bon fonctionnement du reverse proxy ? Je ne comprends pas ... c'est un peu "balo", non ?

il y a 51 minutes, kroumi a dit :

Par contre dans la méthode de sécurisation , je ne comprends pas non plus pourquoi on met en place un admin qui a des droits restreints alors que si qqn arrive à se connecter en tant qu'admin il suffit qu'il se rétablisse les droits. Donc pour ma part je n'ai pas restreint les droits admin comme dans le préconise @Fenrir

Là aussi, à mon humble avis, c'est une très mauvaise idée que tu as de ne pas suivre les recommandations de @Fenrir. C'est un expert réseau et sécurité on peut plus reconnu de la communauté et comme tout expert il sait lui, de quoi il parle. Aussi, je ne suis pas sûr que tu mesures bien les conséquences de ton choix, mais libre à toi ... Tu peux toujours faire autrement si tu as les connaissances suffisantes pour !

Oh c'est sûr je te l'accorde, on ne verrouillera jamais complétement les choses, le risque zéro en matière de sécurité n'existe pas, mais on peut a minima faire en faire en sorte de compliquer la tâche des potentiels malveillants et retarder ainsi au maximum leurs actions ce qui aura un effet dissuasif on ne peut plus important et efficace. Et en plus tu gères des données si confidentielles que cela sur ton NAS ?

Nota : Enfin, juste une question de bon sens : comment veux-tu qu'un pirate se connecte à ton NAS avec le compte "admin" lorsque celui-ci est désactivé ? Peux-tu m'expliquer STP ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Hmm je vais redonner un coup d'oeil à cette histoire de htaccess 🙂

Pour cette histoire d'admin, y a peut-être qqch que je n'ai pas compris. Mais j'ai cru comprendre que Fenir crée un autre admin à qui il donne des droits restreints, et qu'il laisse activé. Et il désactive l'admin qui avait été créé par défaut. Ce que je ne comprends pas pour ce nouvel admin créé, c'est que si un pirate arrive à se connecter au NAS avec son nouvel admin, il pourra de toute façon modifier les droits de ce nouvel admin de façon à avoir accès à toutes ses données non ? Je vais relire le tuto au cas où j'aurais mal compris.

En outre si on met un reverse proxy en place, sans orientation de port vers le DSM, logiquement ça devient très peu possible d'atteindre le DSM , non ?

Et à vrai dire non, je ne gère pas de données si confidentielles mais je voudrais pas qu'un étranger puisse piquer mes photos 🙂

Lien vers le commentaire
Partager sur d’autres sites

@kroumi

Bonjour,

il y a 23 minutes, kroumi a dit :

Ce que je ne comprends pas pour ce nouvel admin créé, c'est que si un pirate arrive à se connecter au NAS avec son nouvel admin, il pourra de toute façon modifier les droits de ce nouvel admin de façon à avoir accès à toutes ses données non ?

Ce nouvel admin ayant des droits restreints, comme je te l'ai dit précédemment le malveillant potentiel aura la tâche plus compliquée et cela lui prendra plus de temps, temps qu'il n'a pas, donc il se découragera plus vite de poursuivre son action. Sauf si vraiment tes photos par exemple sont telles, qu'elles puissent devenir un moyen de pression sur toi pour obtenir de toi ce qu'il convoiterait. Tu détiens des informations/choses si importantes ? Il faut à mon sens rester raisonnable et au final ce que tu auras mis en place en terme de sécurité sur ton NAS (selon les recommandations ici proposées) peut s'avérer largement suffisant pour les quidams ordinaires que nous sommes. Ce n'est que du bon sens, non ? Oui il faut se protéger mais delà à à devenir parano, pas pour moi en tout cas. Essaies simplement de chiffrer le risque que tu prends pour te rendre compte. Je le répète le risque zéro n'existe pas mais quel prix es-tu prêt à payer pour tout verrouiller ? Cela deviendrait tellement contraignant que tu n'oseras même plus toucher à ton NAS, non ? C'est pas le but ...

il y a 23 minutes, kroumi a dit :

En outre si on met un reverse proxy en place, sans orientation de port vers le DSM, logiquement ça devient très peu possible d'atteindre le DSM , non ?

Bien, tu commences à comprendre la philosophie ...

Cordialement

oracle7😉

 

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, kroumi a dit :

Ce que je ne comprends pas pour ce nouvel admin créé, c'est que si un pirate arrive à se connecter au NAS avec son nouvel admin, il pourra de toute façon modifier les droits de ce nouvel admin de façon à avoir accès à toutes ses données non ?

Je complèterai la réponse de oracle7 de la manière suivante : le principe est d'avoir un compte admin qui ne peut faire que de l'administration, et des comptes users qui accèdent à leurs données. 

Par définition un compte qui fait de l'administration n'a pas à accéder aux données. Cela peut permettre d'éviter de faire certaines bêtises. Il est évident qu'en tant qu'admin, il peut se rétablir tous les droits qu'il veut. Mais dans ce cas, ce sera une action volontaire et réfléchie ...

Donc pour moi, cette limitation n'est pas vraiment faite pour se protéger contre les pirates, mais surtout pour se protéger contre soi-même (on sait que la majorités des problèmes proviennent de l'interface chaise / clavier .... 😄

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, kroumi a dit :

Ce que je ne comprends pas pour ce nouvel admin créé, c'est que si un pirate arrive à se connecter au NAS avec son nouvel admin, il pourra de toute façon modifier les droits de ce nouvel admin de façon à avoir accès à toutes ses données non ?

Le point d'entrée d'une intrusion n'est pas nécessairement DSM, il peut très bien s'agir d'une vulnérabilité de n'importe quel programme, surtout les services, fonctionnant sur le NAS. C'est d'ailleurs le cas le plus courant.

Ainsi une intrusion peut se retrouver limitée par le programme pris pour cible, d'où l'importance de ne pas donner accès à tous les services et/ou données du NAS à un même compte (qu'il ait le rôle d'administrateur ou non).

Chaque utilisateur doit disposer des droits dont il a besoin, pas plus.

Lien vers le commentaire
Partager sur d’autres sites

Le 16/09/2020 à 23:45, maxou56 a dit :

Bonsoir,

Tu peux personnaliser l'analyse. (Avancé > personnalisé > personnaliser la liste de contrôle)

Comme indiqué par maxou56 j'ai désactivé dans le conseiller de sécurité le contrôle de la redirection automatique d'HTTP vers HTTPS:

image.jpeg.585869f4066afb9b5317b11efab33b8b.jpeg

Est-ce-que c'est OK comme ça? Vu que je ne prévois pas de me connecter à mon NAS depuis l'extérieur est-ce-que c'est bon? Désolé pour mes questions de "rookie"...j'ai l'impression qu'on m'a filé un avion de chasse mais sans avoir pris de cours de pilotage 🙂

 

Bref après analyse du conseiller tout semble au vert (cf. capture ci-dessous) à l'exception d'un message d'erreur concernant la mise à jour de la base de données sécurité. J'ai relancé l'analyse à plusieurs reprises et à chaque fois le même message d'erreur. Avez-vous une idée? Merci pour votre aide.

image.jpeg.00c1583c22d713f7871b4a3584d89f79.jpeg

Modifié par Ric67
Lien vers le commentaire
Partager sur d’autres sites

 Helo,

Un petit up pour mes questions de newbie au sujet du tuto "sécuriser son nas"

 

1. Authentification en 2 étapes du compte admin: j'ai une possibilité d'utiliser l'appli Watchguard de mon employeur pour mon NAS. J'utilise actuellement cette appli pour me connecter en VPN au réseau de mon entreprise. J'accède à mon NAS uniquement en local et ne prévois pas d'accès depuis l'extérieur. Me conseilles-tu tout de même de mettre en place cette double authentification via la délivrance d'un token ?

 

2. Comme indiqué par maxou56 j'ai désactivé dans le conseiller de sécurité le contrôle de la redirection automatique d'HTTP vers HTTPS:

image.jpeg.585869f4066afb9b5317b11efab33b8b.jpeg

Est-ce-que c'est OK comme ça? Vu que je ne prévois pas de me connecter à mon NAS depuis l'extérieur est-ce-que c'est bon? Désolé pour mes questions de "rookie"...j'ai l'impression qu'on m'a filé un avion de chasse mais sans avoir pris de cours de pilotage 🙂

 

Bref après analyse du conseiller tout semble au vert (cf. capture ci-dessous) à l'exception d'un message d'erreur concernant la mise à jour de la base de données sécurité. J'ai relancé l'analyse à plusieurs reprises et à chaque fois le même message d'erreur. Avez-vous une idée? Merci pour votre aide.

image.jpeg.00c1583c22d713f7871b4a3584d89f79.jpeg

 

3.  Au niveau de l'onglet "Paramètres de DSM" j'ai par défaut l'option "Activer l'en-tête Server" qui est côchée. Cette option ne figure pas dans le tuto de Fenrir. Je laisse cette option côchée?

image.png.b901cda879db201b010a354c5ddaadf0.png

4. Conseiller sécurité: en lançant l'analyse j'ai à chaque fois ce message qui apparaît, est ce normal?

image.png.6e81b2cdd0c6f62fc021c27947f665f0.png

 

Un grand merci pour votre aide

 

 
  •  
Modifié par Ric67
Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Attention à la configuration du pare-feu : l'idéal est d'avoir la configuration par défaut (Activer/Tous/Tous/Tous/Autoriser) et une autre personnalisée (custom à votre convenance, par exemple : Activer/443,80/TCP/France/Autoriser et les 10.0.0.0/255.0.0.0). En cas de problème, il suffit de sélectionner et appliquer celle par défaut, afin de vérifier si cela ne vient pas de là.

J'ai fait cette erreur de trop restreindre l'accès en configurant le pare-feu et je me suis auto-bloqué lors du renouvellement du certificat Let's Encrypt sur un domaine OVH et un routage vers mon IP fixe de ma Freebox, puis après filtrage 443/80 vers mon NAS. Le truc c'est que l'on ne s'en rend pas compte immédiatement, une fois le certificat renouvelé :)

Bref, c'est peut-être une piste. Mais dans tous ces problèmes d'accès, d'autorisation et de filtrage, il faut parfois revenir au point de départ.

Lien vers le commentaire
Partager sur d’autres sites

Le 03/11/2020 à 17:13, blq a dit :

Attention à la configuration du pare-feu : l'idéal est d'avoir la configuration par défaut (Activer/Tous/Tous/Tous/Autoriser) et une autre personnalisée (custom à votre convenance, par exemple : Activer/443,80/TCP/France/Autoriser et les 10.0.0.0/255.0.0.0). En cas de problème, il suffit de sélectionner et appliquer celle par défaut, afin de vérifier si cela ne vient pas de là.

J'ai fait cette erreur de trop restreindre l'accès en configurant le pare-feu et je me suis auto-bloqué lors du renouvellement du certificat Let's Encrypt sur un domaine OVH et un routage vers mon IP fixe de ma Freebox, puis après filtrage 443/80 vers mon NAS. Le truc c'est que l'on ne s'en rend pas compte immédiatement, une fois le certificat renouvelé 🙂

Bref, c'est peut-être une piste. Mais dans tous ces problèmes d'accès, d'autorisation et de filtrage, il faut parfois revenir au point de départ.

Bonjour @blq

Merci pour cette astuce 🙂

Lien vers le commentaire
Partager sur d’autres sites

Le 22/09/2020 à 22:32, Ric67 a dit :

2. Comme indiqué par maxou56 j'ai désactivé dans le conseiller de sécurité le contrôle de la redirection automatique d'HTTP vers HTTPS:

Bonjour @kroumi

La personnalisation du conseil de sécurité semble avoir été mal prise en compte c'est, me semble-t-il ce qui crée l'erreur : "une erreur s'est produite lors de la sécurisation de la base de données.........."

Reviens à utilisation privée personnelle. Fais une analyse puis si tu n'as plus l'erreur, essaie de personnaliser en donnant un peu de temps pour la sauvegarde des paramètres. Refais une analyse.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

Bonsoir à vous tous et @Fenrir,

super le post sécurité qui m'a fait réfléchir sur l'utilisation que je faisais de la fonction "quickconnect". Super simple à mettre en place mais pas forcément sécurisé.

J'en est vraiment marre d'être dépendant des google et autres. Mon souhait est de pouvoir, à terme, basculer mes synchronisations contacts/calendrier/email/bitwarden sur le NAS.

ça y est, c'est donc avec "un peu" d'appréhension que je me suis lancé dans le grand bain de la sécurisation de mon NAS et des données. D'ailleurs, merci à tous pour tous les conseils qui sont sur le forum.

Or, comme je ne suis pas un expert, j'ai du mal à comprendre où je dois gérer les ports et leur redirection si nécessaires. Vous allez vite comprendre, à la lecture des questions posées, que je ne suis pas un dieu du réseau/sécurité mais que je me pose des questions pour bien sécuriser mon réseau et les données perso de la famille.

La configuration du réseau est le suivant : une box Orange est pluggé directement sur un routeur ASUS qui sert de firewall. Le NAS est branché immédiatement derrière ce firewall en filaire.

Sur le NAS, dans la partie "accès externe", j'ai donc désactivé "quickconnect" + ajouté un fournisseur de service DDNS xxx.synology.me. Faut-il aussi que je configure "configuration du routeur" ?

Sur le routeur, à chaque fois que j'essaye de créer une règle de pare-feu, j'ai un message d'erreur qui m'indique que mon adresse IP n'existe pas. Avez-vous des idées pourquoi ? Je suis en galère

Sur la box orange , faut-il que je fasse quelque chose de particulier ? J'ai bien essayé de regarder dans les paramètres de la box mais il n'y a rien d'actif qui pourrait perturber

Complément d'information j'ai monté un groupe d'adresse IP différent de celui de la box. En résumé, la box a comme adresse 192.168.1.1. et le routeur est connu par la box avec l'adresse 192.168.1.x. Donc le routeur gère le réseau de la famille (192.168.2.xxx). Le NAS a une adresse 192.168.2.xx que j'ai rendu fixe en assignant manuellement une adresse IP au NAS.

Voilà, j'ai essayé de vous expliquer au plus simple et si certains d'entre vous veulent bien m'aider, je vous serai éternellement reconnaissant car je ne vais bientôt plus avoir de cheveux. Peut-être que je me prend trop la tête aussi !!

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

C'est vous qui voyez. Tant que vous couvrez les IP que vous pouvez utiliser, il n'y a pas de problème.

Pour ma part je suis encore plus restrictif car je n'autorise qu'une plage d'IP à se connecter au NAS, Les adresses restantes étant réservées au réseau invité qui n'a pas accès au NAS.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, JPnux a dit :

N'est ce pas mieux de mettre du coup  192.168.1.0  en adresse IP et 255.255.255.0 comme masque parmi les règles ?

Si, c'est mieux effectivement, par contre attention si tu changes de box ou de routeur et que le sous-réseau est différent.

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...
il y a 12 minutes, JPnux a dit :

La FREEBOX Revolution qui est citée en exemple intègre bien un pare-feu compatible IPV6, donc à priori pas de risque d'activer l'IPV6 si on a cette box.

Oui, mais cela ne sert a rien car le pare-feu bloque soit tout, soit rien. pas de regle de "filtrage" possible au derniere nouvelle.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour et merci pour votre travail afin que nous autres puissions protéger nos documents, photos tous aussi précieux.

Je viens juste de "me poser" dans le forum et c'est mon premier synology, c'est dire si j'ai besoin d'information et j'attache de l'importance à la sécurité.

J'ai activé le double facteurs espérant qu'il suffira pour le moment. je n'ai créer qu'un compte je commence déjà à regretter cet erreur, est-ce possible de revenir en arrière ou le fait de créer des nouveaux comptes bidons suffiront-ils?

Je ne sais pas pourquoi, les copies d'écran n’apparaissent pas sur mon écran, si je clique sur *.png,  j'ai un écran noir.

Que dois-je faire? merci d'avance pour votre aide.

Un simple utilisateur des bonnes choses...

cordialement.

Lien vers le commentaire
Partager sur d’autres sites

@yvon8

Bonjour,

Si tu postes le même message dans des rubriques différentes, à part le risque de te faire tirer le oreilles par un modérateur, je ne suis pas sûr que tu auras pour autant plus de réponses.

Pour le présent post, tu as par exemple dupliqué 4 fois ton message, tu t'es endormi sur le C/C ? 🤪

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

bonjour,

Tout d'abord merci pour le temps que vous passez à partager vos connaissances.

Pour ma part, si je n’autorise que les IP françaises dans le firewall de mon SYNOLOGY DS218PLAY, je n’arrive pas à y accéder de l’extérieur.

Je teste la connexion extérieure via mon smartphone en 4G SFR. L’IP de celui-ci est bien identifiée en FRANCE d’après le site http://www.maxmind.com. (idem pour ma BOX SFR FIBRE).

Si j’autorise toutes les IP sources plutôt que FRANCE, l’accès est à nouveau fonctionnel de l’extérieur. (via https://nom_de_mon_nas.synology.me:PORTHTTPS/ ou via https://93.10.abc.def:PORTHTTPS/)

1114687612_Capturedcran2021-02-07001507.png.af12f3ac941a65b6423a90d4feadafbc.png

=> avec cette règle, impossible de me connecter à l'interface DSM de mon NAS de l'extérieur (en 4G par ex).

1944138552_Capturedcran2021-02-07010711.png.34fab579ec885364485af38f109f89fa.png

=> avec cette règle, je me connecte sans problème de l'extérieur (en 4G par ex)

Les autres interfaces LAN, PPPoE, VPN sont vides et la case "refuser accès" est cochée.

Une idée ? un conseil? Merci pour votre aide.

PS: j'ai bien prévu d'installer VPN server mais je voudrais d'abord comprendre ce problème.

Modifié par seb25
Lien vers le commentaire
Partager sur d’autres sites

@seb25

Bonjour,

  1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

  2. Avant de te lancer dans la configuration de VPN Server (car ce n'est pas en installant d'entrée un VPN que tu seras pour autant sécuriser), je t'invite plutôt à regarder et suivre ces deux TUTOs pour bien démarrer.

  • TUTO : Débuter avec un NAS Synology

  • TUTO : Sécuriser les accès à son NAS

Ainsi tu comprendra mieux ce qui ce passe chez toi. Vouloir verrouiller les accès à ta maison NAS est tout à fait louable et sain, je ne peux que t'approuver dans ce sens, mais saches que pour le bon fonctionnement de ton NAS, il est tout de même nécessaire d'ouvrir quelques portes à ta maison NAS ne serait-ce pour y accéder. Ces TUTO t'expliqueront comment le faire en toute sécurité mais en bloquant les intrus.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Salut,

 

Je viens de configurer le firewall sur mon NAS (dernière étape qu'il me manquait), et j'ai un problème sur la redirection du port 80 et 443.

J'ai une machine virtuelle sur laquelle j’héberge ma domotique, et j'aime avoir accès à distance. J'ai donc mes redirections de port qui sont faites à travers mon portail des aaplications:

image.png.595038b623ca074b940e4d876c816488.png

J'ai autorisé le port 80 et 443 pour le Canada et la France

image.png.51cbf7e5ac279c47f8ab32f30fd0f6d6.png

J'habite au Canada, c'est facile de vérifier que la connexion se fait bien à travers la 4G.
Pour tester la France je suis passé par NordVPN, mais ça ne fonctionne pas.
Est ce NordVPN le problème ou ma configuration?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.