Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

  • 2 semaines après...

@Fenrir

Bonjour ,
Merci pour ce tuto, est ce que ces 4 premières règles sont toujours d'actualité ?
j'ai ajouter le port perso SSH pour la plage IP local (donc pas d'accès extérieur), que j'utilise et le conseiller de sécurité n'est pas content ...
et bien sûr la dernière ligne

915868215_Parefeusynology.jpg.b06aa94da1a8a30778c5438dd1c43b71.jpg

Voilà ce msg

image.png.1bfd35fc24f3d22f9dd8c24355eb39b9.png

as tu une petite idée ?

bonne soirée et merci

Modifié par toutnickel
Lien vers le commentaire
Partager sur d’autres sites

@toutnickel

Bonjour,

Plus la peine de s'adresser à @fenrir, il ne passe plus ici depuis pas mal de temps déjà (il a dit lors de son dernier passage qu'il n'avait plus le temps ! c'est dommage mais c'est comme cela, il faut donc faire avec ...).

Cela dit, si j'étais toi :

  • je supprimerai cette ligne liée au port SSH dans ton pare-feu et je n'activerai le service SSH qu'en cas de besoin tout en ayant bien vérifié que le système de blocage auto pour ton compte est bien configuré et activé. Ceci d'autant plus où si je ne me trompe pas tu adressais directement ta box et ton NAS avec ces @IP 192.168.1.1 & 2.
  • je désactiverai la règle liée au port SSH dans ton conseillé sécurité comme c'est préconisé dans le TUTO de sécurisation des accès au NAS.

Pour les règle du pare-feu, elles sont toujours et plus que jamais d'actualité.

  • la 2e ligne : si tu utilises par ex un VPN notamment OpenVPN
  • la 3e ligne : si tu utilises par ex un VPN tel que L2TP/IPSec ou des applications sous docker.
  • la 4e ligne : c'est pour autoriser tout ton réseau local sachant que cela m'étonnerai que tu utilises tous les sous-réseaux 192.168.0.0 à 192.168.255.255 ce qui représente tout de même 65534 @IP/machines. Tu peux raisonnablement réduire cela à 255 machines (et ce sera déjà pas mal !) en appliquant simplement le masque 255.255.255.0 au lieu de 255.255.0.0.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

En complément. En général on met les lignes des accès locaux en tête (lignes 2 à 4). La ligne 5 ne sert à rien puisque tu as déjà autorisé tous les ports en accès local par la ligne 4. Donc je la supprimerais.

 

Lien vers le commentaire
Partager sur d’autres sites

@oracle7@Jeff777

Bonsoir,
je viens de réagir en lisant vos messages, effectivement ma ligne 5 ne sert pas, 192.168.1.1 à 254
je l'avais précisez pour conservez l'accès au port SSH en local comme cité dans le tuto mais la ligne 4 le fait déjà .
et ok pour le conseiller de sécurité.

merci a vous deux, bonne soirée

@TN

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour tout le monde,

J'ai une question concernant l'identification d'un environnement Synology (depuis l'extérieur)

Quand je procède avec des tests de sécurité (en ligne), bien souvent, ils indiquent que c'est la technologie Synology qui est derrière mon nom de domaine.

Y a-t-il moyen de cacher cela ?

 

Lien vers le commentaire
Partager sur d’autres sites

https://pentest-tools.com/home
-> il indique que sur certains domaines, j'ai un synology qui est derrière...

 

 

là en ce moment, j'essaie https://www.intruder.io

Résultat : A+ !

sur https://pentest-tools.com/home

 

Capture d’écran 1.png

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, PiwiLAbruti a dit :

Utilises-tu QuickConnect ?

--> Je n'utilise pas quick connect.

Ton NAS a visiblement des ports exposés à internet.

--> ? as tu fait un check sur mon nom de domaine ?

As-tu appliqué les règles de pare-feu préconisées dans ce tutoriel ?

--> Oui, j'ai utilisé les recommandations,

 

Par contre mon NAS est derrière un USG (Unifi) qui fait security gateway
Concernant les applications qui sont accessibles depuis l'extérieur, j'utilise un reverse proxy (redirection HTTPS et uniquement via le port 443)
 

Lien vers le commentaire
Partager sur d’autres sites

il y a 39 minutes, Dimebag Darrell a dit :

redirection HTTPS et uniquement via le port 443

C'est suffisant pour détecter ton NAS.

As-tu limité les adresses IP source ? Car je ne pense pas que des sites comme pentest-tools.com (UK) ou intruder.io (US) sont hébergés derrière des adresses IP françaises.

Lien vers le commentaire
Partager sur d’autres sites

Le port 6690 c’est le port de Drive server pour la synchronisation.

donc s’il utilise le client Drive pour synchroniser ses fichiers ça me parait logique que ce soit ouvert.

les ports 80 et 443 ça doit être pour Let’s Encrypt et sites web utilisant son nom de domaine.

L’autre port je ne sais pas...

Lien vers le commentaire
Partager sur d’autres sites

Merci beaucoup pour le retour,

En effet, ces ports sont exposés au monde entier sans aucun GEOIP filtering.
Néanmoins, je me dis que cette restriction peut très vite être contourné avec un VPN simulant une IP locale.
Soit dit en passant, sauf si c'est un "hacker" débutant, il lui sera impossible de voir ce qu'il se passe, un hacker plus aguerri, cet obstacle sera très vite contourné.
Je me trompe peut-être!?

Je pars du principe que mon NAS soit accessible facilement, en ouvrant des ports, je sais que je m'expose à des risques.
C'est mon but d'avoir mon cloud privé, difficile de faire autrement, ou bien je le ferme complètement et son but initial n'est plus du tout atteint.

 

Concernant des tentatives de connections, j'en ai eu il y a environ 1 an, de manière assez massive.
Dans les logs je remarquais que les tentatives venaient d'IP différentes et de région différentes (Nouvelle Zélande, Chine, US, Vietnam...), j'ose imaginer que ce sont les mêmes personnes avec l'utilisation d'un VPN derrière.
Pour info, après deux tentatives de connections, l'IP est automatiquement blacklisté

J'ai en plus un Unifi Security Gateway (avec un firewall) qui se situe en amont du NAS.

 

Ma question initiale était de savoir s'il est possible de masquer le "footprint" de l'application qui se cache derrière ces ports, à proprement parler, éviter que Synology apparaisse, surtout en cas de faille sur le DSM.

 

Vos recommandations sont les bienvenues.

 

 

Modifié par Dimebag Darrell
Lien vers le commentaire
Partager sur d’autres sites

Je pense que si tu as un parefeu bien paramétré l'ouverture des ports en question n'est pas dramatique.
Ces ports sont ouverts depuis un paquet d'année chez moi, et ce n'est que quand j'ai ouvert le port 22 (oui grosse erreur d'une époque où j'étais un peu plus naïf et surtout ayant moins de connaissances...) que j'ai eu un certains nombre d'attaques, mais heureusement pour moi, à l'époque j'avais déjà plutôt bien paramétré mon parefeu du NAS. (maintenant j'ai en plus le parefeu d'un routeur RT2600AC derrière ma box, en DMZ).

Sinon, bah le NAS ne sert plus à grand chose comme le dit @Dimebag Darrell...

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.