Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

@TuringFan

Bonjour,

Q1 : Si tu as correctement paramétré le blocage du compte, que tu n'as pas de nom d'utilisateurs trop évidents et des Mdp "à rallonge", je pense que ton malveillant sera vite bloqué dans son action. Maintenant si c'est un expert alors il utilisera sûrement d'autres voies de contournement et là je crains qu'il ne soit difficile de te dire les quelles il emploierait. En tous cas, il lui faudra du temps pour les mettre en œuvre, chose qu'il n'a pas pour obtenir tes simples données personnelles à moins que tu ne stocke des secrets industriels ou d'état ...🤪 De simples mesures de prudence sur les accès telles que celles que tu as déjà réalisées, me paraissent suffisantes, non ?

Q2 : Sauf erreur de ma part, les dispositions prises ici pour DSM6 restent pour moi tout aussi valables pour DSM7.

Voilà ce n'est que mon avis rapide sur ce sujet.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Merci @oracle7 pour ta réponse,

il y a 40 minutes, oracle7 a dit :

Si tu as correctement paramétré le blocage du compte, que tu n'as pas de nom d'utilisateurs trop évidents et des Mdp "à rallonge"

Je me demandais s'il y avait des choses à faire coté pare feu : les IPs LAN branchées en physique (ethernet / usb) ont-elles un format spécifique ?

il y a 36 minutes, oracle7 a dit :

ne stocke des secrets industriels ou d'état

Rien de tel en dehors de ma recette du gâteau au chocolat lol.

il y a 37 minutes, oracle7 a dit :

je pense que ton malveillant sera vite bloqué dans son action

Je pensais par exemple à un accès root et/ou en utilisant les services de fichiers tels que SMB, CIFS, AFP, NFS, FTP, TFTP, rsync, etc.

il y a 39 minutes, oracle7 a dit :

Q2 : Sauf erreur de ma part, les dispositions prises ici pour DSM6 restent pour moi tout aussi valables pour DSM7.

Ok,

Merci

Lien vers le commentaire
Partager sur d’autres sites

@TuringFan

Bonjour,

Il y a 2 heures, TuringFan a dit :

Je me demandais s'il y avait des choses à faire coté pare feu : les IPs LAN branchées en physique (ethernet / usb) ont-elles un format spécifique ?

A priori : RIEN.

Pour mémoire, il existe quatre types d'@IP qui sont réservées pour un usage interne aux entreprises (RFC 1918).

Elles ne doivent pas (et peuvent) être utilisées sur l'internet où elles ne seront de toute façon pas routées :

  • de 10.0.0.0 à 10.255.255.255
  • de 172.16.0.0 à 172.31.255.255
  • de 192.168.0.0 à 192.168.255.255
  • les adresses de 127.0.0.0 à 127.255.255.255 sont également interdites.
classe réseau privé
A 10.0.0.0
A 127.0.0.0
B de 172.16.0.0 à 172.31.0.0
C de 192.168.0.0 à 192.168.255.0

Le cas du réseau 127.0.0.1 est particulier : il désigne la boucle locale (loopback en anglais) et désigne la machine locale (localhost).

 

Il y a 2 heures, TuringFan a dit :

Je pensais par exemple à un accès root et/ou en utilisant les services de fichiers tels que SMB, CIFS, AFP, NFS, FTP, TFTP, rsync, etc.

Pour "root" il faut qu'il (le malveillant bien sûr) connaisse le MdP associé et s'il est "à rallonge", je lui souhaite bien du plaisir 🤣

Pour les protocoles réseau, je lui fait confiance, il doit en connaître toutes les failles s'il est "expert" et là sauf à appliquer les MàJ régulières de protocole largement diffusées, je ne vois/sais pas quoi faire de plus à ce niveau, non ?

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Il y a 22 heures, TuringFan a dit :

Quelle serait les capacités d'une personne malveillante si elle parvenait à se connecter physiquement

Bonjour,

Pas grand chose à faire de plus sauf le chiffrement (soit des dossiers partagés, soit des directement les fichiers comme les sauvegardes). Car si une personne malveillante a un accès physiquement au NAS, alors elle peut faire un reset "mode1" pour remette l'admin à zéro (désactiver le pare-feu...) et donc ce connecter au NAS. (Ou mais ça revient au même pour les données, reset "mode2", ou prendre les disque et les lire sur une machine Linux) 

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Il y a 18 heures, oracle7 a dit :

Pour mémoire, il existe quatre types d'@IP qui sont réservées pour un usage interne aux entreprises (RFC 1918).

Elles ne doivent pas (et peuvent) être utilisées sur l'internet où elles ne seront de toute façon pas routées :

  • de 10.0.0.0 à 10.255.255.255
  • de 172.16.0.0 à 172.31.255.255
  • de 192.168.0.0 à 192.168.255.255
  • les adresses de 127.0.0.0 à 127.255.255.255 sont également interdites.
classe réseau privé
A 10.0.0.0
A 127.0.0.0
B de 172.16.0.0 à 172.31.0.0
C de 192.168.0.0 à 192.168.255.0

Le cas du réseau 127.0.0.1 est particulier : il désigne la boucle locale (loopback en anglais) et désigne la machine locale (localhost).

Ok merci @oracle7. A titre perso mon LAN est en 192. et mon VPN en 172.

Impossible donc d'imposer au NAS des connexions physiques sur une classe spécifique comme on peut le faire ed faon analogue avec le DHCP ?

Il y a 18 heures, oracle7 a dit :

Pour "root" il faut qu'il (le malveillant bien sûr) connaisse le MdP associé et s'il est "à rallonge", je lui souhaite bien du plaisir

C'est bien mon cas, un mdp de 114 bits.

 

il y a 24 minutes, maxou56 a dit :

Pas grand chose à faire de plus sauf le chiffrement (soit des dossiers partagés, soit des directement les fichiers comme les sauvegardes). Car si une personne malveillante a un accès physiquement au NAS, alors elle peut faire un reset "mode1" pour remette l'admin à zéro (désactiver le pare-feu...) et donc ce connecter au NAS. (Ou mais ça revient au même pour les données, reset "mode2", ou prendre les disque et les lire sur une machine Linux) 

Merci @maxou56,

Quid du cas des dossiers partagés chiffré mais montés au moment de l'attaque en physique ?

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

 

il y a une heure, maxou56 a dit :

Quelle serait les capacités d'une personne malveillante si elle parvenait à se connecter physiquement

il y a 35 minutes, TuringFan a dit :

Quid du cas des dossiers partagés chiffré mais montés au moment de l'attaque en physique ?

Dans ce cas, hors le fait de débrancher le NAS et l'enfermer dans le coffre fort d'une banque, je ne vois pas de solution !!! 🤪🤪🤪🤪🤪

Lien vers le commentaire
Partager sur d’autres sites

Il y a 15 heures, Kramlech a dit :

Dans ce cas, hors le fait de débrancher le NAS et l'enfermer dans le coffre fort d'une banque, je ne vois pas de solution !!! 🤪🤪🤪🤪

Lol je prends le point.

Sinon @maxou56 m'a expliqué que dans ce cas besoin d'un couple identifiant / mdp d'un utilisateur admin ou des cles de chiffrement des dossiers (si migration, reset, etc.)

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonjour à tous,

J'espère que vous allez bien, il y a un petit moment que je n'étais pas venu ici.

J'ai paramétré il y a quelques années (2 ans / 3 ans ?) mon NAS avec ce tuto.

Je viens de recevoir le rapport de sécurité du nas, que je ne regarde jamais et je pense que certaines choses ne vont pas ???

Pouvez vous me dire ce que vous en pensez et surtout les points que je dois régler.

Voici les captures écrans :

363031299_Capturedcran2021-10-01090559.thumb.jpg.d0ed2ebd8cb86d42c302abc6c809e462.jpg1665553132_Capturedcran2021-10-01090632.thumb.jpg.b8e44aea7b448c5b2b397debd2ba38ea.jpg

Merci à vous !

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

La redirection automatique http vers https il ne faut pas le faire si tu utilises le proxy inverse du DSM (ça bug) dans ce cas il faut utiliser un fichier .htaccess. Sinon tu peux.

La MàJ du DSM oui il est préférable de le faire si elle est apparait pour ton nas.

Changer le port SSH oui c'est mieux.

Le reste cela ne me parait pas indispensable.

 

Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

Merci @Fenrir pour ce tuto super bien fait et très instructif 🙂  J'ai appris pleins de choses et j'ai vraiment l'impression de mieux maitriser ce que je fais avec mon NAS 👍

Je me poser une question par rapport à la gestion des paramètres de pare-feu. J'ai vu qu'une bonne pratique est de limiter les accès aux adresses IP venant de France seulement. Mais comment gérez-vous quand vous sortez du territoire ?
Anticipez-vous en faisant une modification temporaire de ces réglages ? Ou utiliser vous un VPN pour se localiser en France en cas de séjour à l'étranger ? 

Lien vers le commentaire
Partager sur d’autres sites

@aloysbr

Bonjour,

Je me permet de répondre à ta question car @Fenrir ne passe quasiment plus ici ou du moins de façon très épisodique.

Pour limiter les @IP à la France, tu fait cela dans le pare-feu du NAS et tu édites ta règle pour sélectionner "emplacement" au niveau "IP source" et là tu sélectionnes  France.

En cas de séjour à l'étranger, tu te connectes à ton NAS via une connexion VPN (par ex OpenVPN). Bien évidemment, tu auras installé au préalable le package VPN Server sur ton NAS avec ce TUTO . Voilà c'est pas plus compliqué. Ainsi tu auras accès à ton réseau local et ton NAS en toute sécurité depuis l'extérieur (même en France hors de chez toi).

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

Encore merci @oracle7 pour cette réponse. Tu m'aides beaucoup 🙂 

J'ai bien installé un serveur VPN LT2P/IPSec pour accéder à DSM sans ouvrir le port 5001. Du coup si je comprends bien, il faut que je restreigne les accès externes aux IP venant de la France sauf pour les ports VPN serveur, soit 1701, 500 et 4500, que j'ouvre à toutes les adresses IP pour pouvoir accès à mon NAS depuis l'étranger ?

Lien vers le commentaire
Partager sur d’autres sites

@aloysbr

Bonjour,

Oui c'est un peu l'idée. Attention toutefois pour le ports 80 et 443, pour ton certificat LE par ex ton NAS a besoin de se connecter aux serveurs LE qui sont aux USA afin d'assurer son renouvellement. Donc ...

Ne soit pas non plus trop "parano" et ne restreins géographiquement qu'à bon escient. Maintenant ce que j'en dit ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, oracle7 a dit :

Oui c'est un peu l'idée. Attention toutefois pour le ports 80 et 443, pour ton certificat LE par ex ton NAS a besoin de se connecter aux serveurs LE qui sont aux USA afin d'assurer son renouvellement. Donc ...

Oui j'avais cru comprendre après le port 80 est un port HTTP donc il vaut mieux éviter de le laisser ouvert non ? Je pense pour le moment l'ouvrir manuellement quand j'aurais besoin de renouveler mon certificat LE. Mais à voir si je peux pas automatiser cette tâche.

Le port 443 je l'ai restreins à la France mais je viens de faire un renouvellement de certificat LE et ca ne me l'as pas bloqué 😉 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 8 heures, aloysbr a dit :

Oui j'avais cru comprendre après le port 80 est un port HTTP donc il vaut mieux éviter de le laisser ouvert non ? Je pense pour le moment l'ouvrir manuellement quand j'aurais besoin de renouveler mon certificat LE. Mais à voir si je peux pas automatiser cette tâche.

Perso le port 80 n'est pas ouvert sur mon routeur.
Je fais tout passer par le port 443 et le reverse proxy 🙂

Il y a 8 heures, aloysbr a dit :

Le port 443 je l'ai restreins à la France mais je viens de faire un renouvellement de certificat LE et ca ne me l'as pas bloqué 😉 

Tu utilises un nom de domaine Synology ? Si oui c'est normal que ça fonctionne même si ton port 443 n'est pas ouvert au monde 🙂 
Par contre, si tu utilises un nom de domaine tiers, ça ne devrait pas fonctionner, car LE a besoin d'accéder au port 443 depuis une IP étrangère...

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, MilesTEG1 a dit :

Perso le port 80 n'est pas ouvert sur mon routeur.
Je fais tout passer par le port 443 et le reverse proxy

Comment tu as fait ? Tu as mis en place une redirection de http://ndd.fr:80 vers https://localhost:443 sur ton reverse proxy ? Ou bien tu as fait balancer le port 80 vers le port 443 au niveau de ton routeur ? 

il y a une heure, MilesTEG1 a dit :

Tu utilises un nom de domaine Synology ? Si oui c'est normal que ça fonctionne même si ton port 443 n'est pas ouvert au monde 🙂 

Non j'utilise un nom de domaine Freeboxos et ca marche. Peut-être que c'est pareil que pour les noms de domaine Synology.

Modifié par aloysbr
Lien vers le commentaire
Partager sur d’autres sites

il y a 12 minutes, aloysbr a dit :

Comment tu as fait ? Tu as mis en place une redirection de http://ndd.fr:80 vers https://localhost:443 sur ton reverse proxy ? Ou bien tu as fait balancer le port 80 vers le port 443 au niveau de ton routeur ? 

Rien de tout ça.

Rien n'arrive sur le port 80, donc je ne l'ouvre pas.
Dans mon routeur je ne route que le port 443 (et le 6690 pour Drive Server).
Je n'accède jamais à mes services en HTTP sur le port 80. Donc ce port n'est pas ouvert sur internet.
Je l'ai cependant autorisé pour les IP de mon LAN et les IP FR dans le parefeu du NAS, mais normalement rien n'est censé y accéder. Sauf peut-être un script php que j'avais fait à une époque pour une application.

il y a 12 minutes, aloysbr a dit :

Non j'utilise un nom de domaine Freeboxos et ca marche. Peut-être que c'est pareil que pour les noms de domaine Synology.

Hmmm, je ne sais pas... ta demande de certificat LE est-elle faite depuis DSM ?

Edit : à la reflexion, Free est en France, donc ça doit être normal ^^

Modifié par MilesTEG1
Lien vers le commentaire
Partager sur d’autres sites

il y a 7 minutes, MilesTEG1 a dit :

Rien n'arrive sur le port 80, donc je ne l'ouvre pas.

Ok mais pour le renouvellement automatique du certificat LE, ca ne pose pas de problème ? 
J'ai renouvelé mon certificat hier et ca n'as pas marché sans avoir le port 80 ouvert. Le 443 était ouvert mais que sur la France. Peut-être que si je l'ouvre partout, ca marcherais ?

il y a 10 minutes, MilesTEG1 a dit :

Dans mon routeur je ne route que le port 443 (et le 6690 pour Drive Server)

Tu utilises VPN server ? Tu le fais aussi passer par le reverse proxy ? 

Et pour le port Drive Server, ca ne passe pas par le reverse proxy ? 

Lien vers le commentaire
Partager sur d’autres sites

il y a 54 minutes, aloysbr a dit :

Ok mais pour le renouvellement automatique du certificat LE, ca ne pose pas de problème ? 
J'ai renouvelé mon certificat hier et ca n'as pas marché sans avoir le port 80 ouvert. Le 443 était ouvert mais que sur la France. Peut-être que si je l'ouvre partout, ca marcherais ?

Tu utilises VPN server ? Tu le fais aussi passer par le reverse proxy ? 

Et pour le port Drive Server, ca ne passe pas par le reverse proxy ? 

En fait j’utilise une autre méthode pour créer un certificat wildcard (voir tuto docker acme de ce forum ) pour mon nom de domaine ovh : ça passe par une validation dns donc pas besoin des ports 443 et 80.

pour mon nom de domaine synology, même si je sais pas vraiment comment il fonctionne, le certificat est aussi renouvelé correctement dans erreurs.

 

pour ton autre question sur le VPN : j’utilise le paquet VPN Plis Server de mon routeur synology.

À l’époque où j’utilisais le paquet du nas je crois que je faisais passer par le reverse proxy mais pas sûr à 100%…

il y a 29 minutes, .Shad. a dit :

Port 80 c'est utile pour la redirection HTTP vers HTTPS (pas utile si tu utilises HSTS), et si tu fais des demandes de certificat non wildcard (càd tu précises chaque domaine que tu souhaites ajouter au certificat).

+1

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, .Shad. a dit :

Port 80 c'est utile pour la redirection HTTP vers HTTPS (pas utile si tu utilises HSTS)

Tu parles de la redirection HTTP vers HTTPS ? Tu parles de si les utilisateurs essaye d'accéder en HTTP ? 


Ca ne serait pas une faille de laisser le port 80 ouvert ?


Pour HSTS, j'ai l'impression que c'est pas conseiller de l'activer (lu sur 2 tutos).

 

il y a une heure, MilesTEG1 a dit :

À l’époque où j’utilisais le paquet du nas je crois que je faisais passer par le reverse proxy mais pas sûr à 100%…

Je vais tester de tout faire passer pour le reverse proxy dès que j'aurais pris mon ndd. Je verrais bien si ca marche correctement 😌

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonsoir,

J'en profite comme vous parlez des ports ouverts sur vos routeurs concernant ce tuto pour revenir faire un petit tour sur ce topic et en profiter pour remercier ceux qui m'ont aidé comme @oracle7 à mettre en place le tuto qui fonctionne... parfaitement !!

Au niveau des ports, j'ai ouvert le 80 et le 443 sur ma box... Faut-il supprimer le 80 ?

Sinon au niveau "sécurité supplémentaire" , j'ai crée un VLAN sur mon switch pour le Syno. En théorie cela empêcherait de pouvoir accéder à d'autres équipements présents su le même réseau...

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @Fab221

Si tu as mis en place une redirection http vers https je dirais que tu peux le supprimer. Malgré tout, cela peux poser problème pour le renouvellement de ton certificat selon la méthode que tu emploies, mais rien n'empêche de le rétablir temporairement.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.