[TUTO] Sécuriser les accès à son nas - DSM 6.x

[.Shad.]

Tu devrais regarder dans les logs nginx du NAS, je ne suis pas chez moi donc je ne peux pas vérifier, mais de souvenir ça doit être en SSH dans /etc/nginx/logs ou quelque chose d'approchant.

EDIT : ou dans /var/log peut-être, avec DSM 7 beaucoup de logs y ont été rapatriés.

Modifié le 22 août 2022 par .Shad.

[PiwiLAbruti]

il y a 39 minutes, _DR64_ a dit :

Celui-ci fonctionne depuis le LAN mais pas par VPN.
Une idée ?

La résolution du nom en VPN pointe bien vers l'adresse IP privée du NAS ?

[_DR64_]

C'est bon avec le sous réseau 10.0.0.0/8 ça fonctionne 😉 Merci !
Je vais même surement voir pour attribué des IPs virtuelles sur la en 192.168.64.201 à 210 ça simplifiera encore plus.

Edit : J'ai dis une bêtise ce n'est pas possible de faire ça puisque que je suis sous le même sous réseau que le principal.

J'ai donc changé en 10.0.0.0/24 ça fait un peu moins d'IPs et c'est plus propre à mon gout.

Merci @.Shad. et @PiwiLAbruti

Modifié le 22 août 2022 par _DR64_

[PiwiLAbruti]

Selon le nombre de clients VPN connectés en simultané, tu peux même descendre sur un /29 (6 adresses disponibles) ou un /30 (2 adresses disponibles).

[_DR64_]

@PiwiLAbruti : C'est pas faux, je vais descendre à 6 🙂 merci

[bibou64]

Hello,

Concernant la configuration du firewall, qu'est-ce qui est autorisé précisement dans le screenshot ci-dessous ?

Je ne suis pas sur de comprende à quoi correspondent ces plages d'IP.

Merci.

[Jeff777]

il y a 55 minutes, bibou64 a dit :

qu'est-ce qui est autorisé

Bonjour,

Sont autorisées, dans l'ordre des règles, les requètes provenant:

des VPN

des container dockers

des périphériques de tes réseaux internes

En gros tu accèdes à ton nas uniquement en VPN

[PiwiLAbruti]

il y a une heure, bibou64 a dit :

Je ne suis pas sur de comprende à quoi correspondent ces plages d'IP.

Les trois réseaux utilisés dans les règles de pare-feu sont des réseaux privés pouvant correspondre aux usages indiqués par @Jeff777.

https://fr.wikipedia.org/wiki/Réseau_privé

 

En France, l'écrasante majorité des réseaux locaux configurés par défaut sur les box des opérateurs sont 192.168.0.0/24 ou 192.168.1.0/24, ils appartiennent donc à 192.168.0.0/16 (qu'on pourrait même réduire à 192.168.0.0/23). Tu pourrais finalement désactiver les deux autres règles comportant les réseaux 10.0.0.0/8 et 172.16.0.0/12.

Si tu veux approfondir le sujet des adresse IPv4 : https://fr.wikipedia.org/wiki/Adresse_IP

Ce tutoriel commence à dater et ne tient pas compte d'IPv6 alors qu'il est utilisé chez tous les opérateurs et est bien moins prise de tête qu'IPv4. Tu pourrais ajouter une règle autorisant le réseau fe80::/10 (réseau privé IPv6).

[Jeff777]

 

il y a 36 minutes, PiwiLAbruti a dit :

Tu pourrais ajouter une règle autorisant le réseau fe80::/10 (réseau privé IPv6).

J'ai également fc00::/7  mais j'avoue ne plus savoir à quoi ça correspond 🙄

[oracle7]

@Jeff777

Bonjour,

Regardes le tableau d'adressage IPv6 du lien wiki sur les adresses fourni précédemment par @PiwiLAbruti

Cordialement

oracle7😉

[PiwiLAbruti]

fc00::/7 est l'équivalent IPv6 de 10/8, 172.16/12 et 192.168/16, donc dédié aux réseaux privés non-routables sur internet.

C'est un préfixe que tu ne rencontreras probablement jamais étant donné qu'il est utilisé dans des configurations professionnelles/spécifiques. Tu peux donc retirer la règle qui l'utilise.

Pour information fe80::/10 est l'équivalent de 169.254/16 (adresses automatiques non routable).

[bibou64]

Hello à tous,

J'ai appliqué les rules recommandées par le firewall, mais j'obtiens ceci comme alerte.

Faut-il bien ajouter ces exceptions ?

Merci.

[manitou153]

Bonjour à tous

Quelqu'un peut-il m'éclairer sur la configuration du pare-feu SVP ?

J'ai configuré l'interface LAN1 pour qu'elle n'accepte les requêtes que du réseau local et refuse tout le reste.

Il n'y a rien de configuré dans les autres interface. J'ai un VPN mais il est déconnecté.

Et pour autant je ping et curl encore google depuis un terminal connecté en SSH à mon NAS.

J'ai une box Orange derrière mon NAS.

Merci pour votre aide.

 

[.Shad.]

Le pare-feu de DSM ne bloque que les connexions entrantes.
Le NAS lui peut accéder à tout ce qu'il veut, il ne filtre rien en sortie, c'est le comportement par défaut pour tous les pare-feu, c'est plus souvent dans les entreprises ou sur les hotspots publics que tu trouveras du filtrage en sortie.

Vu que tu inities le ping depuis le NAS, ça fonctionne, car le tunnel est établi entre ton NAS et ta destination.

Modifié le 21 janvier 2023 par .Shad.

[manitou153]

Merci @.Shad. c'est très clair.

Je n'avais pas en tête que quand tu es à l'initiative de la connexion, le retour était possible.

 

[Dimebag Darrell]

Bonjour tout le monde,

Avez vous déjà entendu parler de ceci : 
CSP Wildcard Directive
Application Error Disclosure
CSPstyle-src unsafe-inline

 

En attendant de vous lire,

Merci

[oracle7]

@Dimebag Darrell

Bonjour,

Quel rapport avec la sécurité d'un NAS Synology ???

Rien que CSP , sauf erreur de ma part, est relatif la sécurité d'un site Web : https://developer.mozilla.org/fr/docs/Web/HTTP/CSP

Cordialement

oracle7😉

 

[Dimebag Darrell]

J'ai effectué un test de vulnérabilité et j'ai eu ces 3 points qui ont été remontés suite au test

(https://hostedscan.com/)

 

[PiwiLAbruti]

Les erreurs CSP sur un domaine wildcard sont souvent causées par le chargement de ressources externes (images, scripts, feuilles de style, ...) avec un sous-domaine différent de celui du site, comme par exemple un site www.domain.tld qui chargerait du contenu externe depuis static.domain.tld. Il y a plusieurs façons de résoudre/contourner cette anomalie (facilement trouvable via un moteur de recherche).

 

Hors-sujet

Le but de ce type de site, comme beaucoup d'autres qui pullulent depuis quelques années, est d'établir des rapports de l'état de santé d'internet en générant des statistiques d'accessibilité et de vulnérabilité. Ce sont des données qui se vendent très bien actuellement. La déclaration de confidentialité de ce site est peu bavarde à ce sujet, on vous promet seulement que les données sont chiffrées, que les clauses avec les tiers (dont les hébergeurs) sont très strictes, … bref,  que vos données sont sécurisées. Pour le reste, c'est à vous d'évaluer où vous placez le curseur de confiance.

Sur ce type de site prétendant faire de gentils scans sur les adresses qui lui sont fournies en toute confiance par ses visiteurs (désolé, je n'arrive pas le tourner la phrase autrement sans montrer que ça sent mauvais), il y a très souvent une liste des adresses IP des serveurs depuis lesquels les scans sont effectués. Dans le cas présent : https://help.hostedscan.com/help/what-ip-addresses-are-used-for-the-hostedscan-vulnerability-scanners

Le domaine scanners.hostedscan.com se résout en 70 adresses IP (une seul adresse en Hollande, tout le reste est aux USA chez Akamai et Amazon).

Si le scan réussit, ça veut surtout dire que le NAS est ouvert à toutes ces adresses impliquant éventuellement un défaut de configuration du pare-feu (une limitation géographique étant le minimum).

[ers31]

bonjour à tous, j'avais suivi le tuto (1er message) l'installation de mon nas, il y a quelques années.

Est ce que le tuto a été mis à jour depuis ? En gros est ce que je relis / vérifie tout pour être certain que rien n'a bougé et que mon NAS est toujours aussi bien sécurisé ?

[Mic13710]

Le tuto date de 2016. Il n'y a pas eu de maj depuis. Néanmoins, à quelques détails près, il est toujours d'actualité.

[ers31]

@Mic13710ok je te remercie donc je suis toujours bon sur ma configuration.

Merci d'avoir pris le temps de me répondre.

[Fidjial]

Bonjour à tous

J'ai bien suivi les tutos et tout se passait bien pour les accès en local et à distance mais depuis quelques jours, je n'accède plus au Nas à distance (DSM, calendriers, contacts, mails...).

Après quelques tests, je viens de comprendre que c'est le pare-feu qui bloque l'accès : si je le désactive, l'accès distant est correct.

Plus précisément la dernière ligne : Tous qui est habituellement sur Refuser bloque tout ; j'ai mis sur Autoriser pour retrouver l'accès.

Qu'est-ce qui peut expliquer cela et comment résoudre ce problème soudain ?

 

Merci par avance 😀

Capture d’écran 2023-04-22 à 12.31.57.pdf

[Mic13710]

En clair, votre parefeu est non seulement une vraie passoire, mais cet aussi le bazar de l’hôtel de ville. Il y a pléthore de règles ouvertes aux quatre vents (pas de limitations géographiques) dont on ne sait pas ce quelles protègent, mais qui auraient pu aisément être combinées en une seule.

Si vos accès extérieurs ne fonctionnent pas avec la règle de blocage en bas de page, c'est que votre parefeu fait son travail c'est à dire qu'il ne rencontre pas de règle qui autorise le trafic. Vérifiez que les ports des applications que vous voulez atteindre sont bien autorisés.

[Fidjial]

Merci pour ces précieux conseils.

J'ai remis un peu d'ordre dans le bazar, je pense, et j'ai trouvé la raison de l'accès impossible : il manquait des règles (encore) pour HTTP/S et reverse proxy et l'interface DSM.

Configuration pare-feu.pdf

Il y a 13 heures, Mic13710 a dit :

Il y a pléthore de règles ouvertes aux quatre vents (pas de limitations géographiques) dont on ne sait pas ce quelles protègent, mais qui auraient pu aisément être combinées en une seule.

D'accord, comment améliorer cette configuration alors ?

Merci encore 😀