[TUTO] Sécuriser les accès à son nas - DSM 6.x

[Mic13710]

Est-ce que vous avez besoin que les applications de votre NAS soient accessibles de Russie, de Chine, d'Ukraine, d'Inde, d'Argentine, bref, du monde entier ? Vous pouvez très certainement limiter leurs accès aux seuls pays à partir desquels vous êtes sensé vous connecter.

Plutôt que de mettre une règle par service, vous pouvez mettre tous les réglages qui concernent la même zone géographique dans une seule règle.

[MilesTEG1]

@Fidjial Quand tu fais une capture d'écran, tu veux bien la poster en image et non en PDF ? C'est pénible de devoir télécharger le fichier puis l'ouvrir.
Il existe plein d'outils qui permettent ça, voire d'envoyer directement sur un service d'hébergement comme imgur.

Cela dit, tes règles me semblent encore bien trop permissives. Tu n'as pas de restrictions de pays ? ( @Mic13710 vient de poster pendant que je rédige mon message 🙂 )

Voilà ma config (adaptée à mes besoins bien sûr) :

Je n'ouvre que le strict minimum : port 443 (HTTPS...) et port 6690 (Drive Server, pour la synchronisation)
Je viens de supprimer le 32400 plus nécessaire, le PMS est sur un autre NAS.

Ces deux ports sont donc les seuls ouverts sur mon routeur (en plus du port ICMPv6).

Mes conseils :

• Restreint les accès uniquement aux pays où tu veux accéder à ton NAS depuis l'extérieur ;
• Utilise le reverse proxy (port 443) pour accéder aux services du NAS qui peuvent passer par lui ;
• Ne passe que par le serveur VPN pour accéder aux services sensibles du NAS : SSH, DSM, etc...
• Change les ports par défaut des applications DSM.

il y a 10 minutes, Mic13710 a dit :

Plutôt que de mettre une règle par service, vous pouvez mettre tous les réglages qui concernent la même zone géographique dans une seule règle.

Ça, je n'y avais pas pensé 🙂. C'est une bonne idée ^^
En revanche, si on veut désactiver qu'un seul service, il faut aller éditer la règle. Décocher la case de la règle pour un seul service est plus rapide ^^

[Fidjial]

Merci à vous deux

J'ai encore élaguer :

En mettant toutes les règles sur un pays, forcément ça restreint l'accès.

Si à un moment je me situe à Andorre ou en Belgique et que j'ai oublié ce paramétrage (avec l'âge), je ne pourrai plus accéder et je chercherai probablement longtemps avant de trouver l'explication de ce blocage en dehors de la France.

Il n'y a pas d'autres solutions (sans connaître forcément à l'avance les éventuels pays de futurs localisation ?

Si je comprends bien, les services comme Calendriers, contacts, mails... qui sont hébergés sur des applis de Synology n'ont pas besoin de règles ?

Mais si j'utilise d'autres applis pour ces services (comme Thunderbird, Contacts et calendriers de Mac OS), il faut cocher ces règles ?

Les services comme DNS Server et les VPN n'ont pas besoin d'avoir une règle ?

Merci bien 😄

[Mic13710]

il y a 8 minutes, Fidjial a dit :

En mettant toutes les règles sur un pays, forcément ça restreint l'accès.

Vous pouvez très bien en choisir plusieurs ! Chez moi par exemple j'ai la France bien sûr, l'Angleterre, les US et le Canada. Les US sont obligatoires pour les certificats Let's Encrypt.

Il est bien évident que si vous devez vous déplacer il faudra réajuster en fonction du pays où vous allez.

C'est tout de même plus rassurant que des pays réputés pour leurs attaques inamicales puissent être bloqués, quitte à oublier d'ouvrir le pays où vous vous rendez, plutôt que de subir des tentatives d'intrusion venant du monde entier.

Au pire, vous laisser le serveur VPN plus ouvert (mais pas trop quand même) afin de pouvoir éventuellement modifier à distance les règles du parefeu si vous avez omis de le faire avant votre départ.

En plus de mes blocages géographiques, j'ai un script qui tourne chaque jour pour effacer et mettre à jour la liste des IP blacklistées.

il y a 21 minutes, Fidjial a dit :

Si je comprends bien, les services comme Calendriers, contacts, mails... qui sont hébergés sur des applis de Synology n'ont pas besoin de règles ?

Bien sûr que si ! Ce n'est pas parce que l'appli est activée qu'elle est pour autant accessible de l'extérieur. Il faut aussi l'autoriser dans le parefeu.

Idem pour le serveur DNS et le VPN.

Selon les règles que vous avez mis en place (certainement après avoir suivi les recommandations du tuto sur la sécurisation des NAS), tous les services utilisés localement sont tous autorisés par les premières règles du parefeu. Il n'y a donc pas besoin de les ouvrir par ailleurs. Par exemple, si vous avez activé le serveur DNS pour résoudre des adresses sur votre réseau privé, il est inutile d'ouvrir en plus le port 53. Par contre, le VPN est normalement utilisé pour un accès sécurisé de l'extérieur, il faut ouvrir les ports correspondants (uniquement pour ceux que vous utilisez bien entendu), et les rediriger vers le NAS dans le routeur (sauf le 1701) pour pouvoir passer par le serveur VPN du NAS.

En résumé, les ouvertures de ports ne concernent que les services que vous utilisez de l'extérieur.

[Fidjial]

Super, merci pour les explications 🙂

J'ai finalement fait des règles pour la France et les proches pays européens pour le moment.

Pour le VPN, j'ai laissé les ports 1194, 1701, 500,4500 ouverts.

Sur le routeur, pourquoi ne pas rediriger le port 1701 ?

Sur le pare-feu du Nas, j'ai désactivé les ports de Contacts et Calendriers mais j'accède toujours depuis l'extérieur, c'est pour cela que je me demande s'il est bien nécessaire de les ouvrir dans le pare-feu ?

[Mic13710]

il y a 29 minutes, Fidjial a dit :

Pour le VPN, j'ai laissé les ports 1194, 1701, 500,4500 ouverts.

Sur le routeur, pourquoi ne pas rediriger le port 1701 ?

Vous vous servez d'openVPN et de L2TP/IPSec ?

Pour le port 1701, il n'est utile que pour le L2TP/IPSec, quant à son ouverture dans le routeur, je vous renvoie vers le tuto sur le serveur VPN que vous trouverez dans la partie tutoriel.

[Fidjial]

Il y a 2 heures, Mic13710 a dit :

Vous vous servez d'openVPN et de L2TP/IPSec ?

Sur Mac OS pas d'OpenVPN donc L2TP obligatoire oui, mais je ne sais pas si les 3 ports 500 4500 1701 sont nécessaires...

[Mic13710]

il y a 15 minutes, Fidjial a dit :

je ne sais pas si les 3 ports 500 4500 1701 sont nécessaires...

Encore une fois, allez voir le tuto sur le serveur VPN.

[Philippe D]

bonjour,

une mine d'informations que ce Tuto , merci à @Fenrir 😀

de mon coté, j'ai activé pas mal de restrictions (DSM + pare feu) , notamment la désactivation du compte admin.

et j'ai dans mes logs des tentatives de connexions (ATTAQUES ??) venant de France ou d'autre pays européens , toutes les 5-10 minutes :

Avertissement
nas admin Connection User [admin] from [82.66.40.31] failed to sign in to [DSM] via [password] due to authorization failure.

Avertissement
nas admin Connection User [admin] from [90.112.60.88] failed to sign in to [DSM] via [password] due to authorization failure.

etc...

 

peut-on faire qqchose pour empêcher cela ou bien suis-je malgré tout protégé ?

 

Merci

Bonne journée

 

DSM 7.1.1  (je change ma signature de suite ... 🤫)

Modifié le 17 mai 2023 par Philippe D

[MilesTEG1]

il y a 8 minutes, Philippe D a dit :

peut-on faire qqchose pour empêcher cela ou bien suis-je malgré tout protégé ?

• Ne plus utiliser le compte "admin" ! Et avoir un compte administrateur personnalisé genre "mon_admin_Super_Mais_pas_admin_tout-court".
• Ne pas ouvrir DSM sur internet. Le faire passer par le serveur VPN du NAS.
• Utiliser un reverse proxy.
• Interdire les connexions des IP pas FR. (parefeu)
• etc...

Mon NAS n'est accessible depuis internet que sur le port 443 pour plein de services, mais pas DSM (que via le VPN), et 6690 pour la synchronisation Drive, et pas d'attaque recensée par DSM.

Modifié le 17 mai 2023 par MilesTEG1

[Philippe D]

Citation

• Ne plus utiliser le compte "admin" ! Et avoir un compte administrateur personnalisé genre "mon_admin_Super_Mais_pas_admin_tout-court".   FAIT
• Ne pas ouvrir DSM sur internet. Le faire passer par le serveur VPN du NAS. Je regarde cela de suite !!!
• Utiliser un reverse proxy.  FAIT
• Interdire les connexions des IP pas FR. (parefeu) FAIT
• etc...

merci

[Philippe D]

j'avais oublié de changer les numéros de ports par défaut DSM -> et depuis plus d'attaques 🤩

Merci

[bibou64]

Le 17/05/2023 à 18:02, Philippe D a dit :

j'avais oublié de changer les numéros de ports par défaut DSM -> et depuis plus d'attaques 🤩

Merci

Hello,

Tu fais ça comment ?

aurais-tu un screenshot de ta config ?

J'ai plein d'attaques depuis 1 semaines (compte admin désactivé mais bon..)

Merci !

[Mic13710]

@bibou64, libre à vous de changer les ports par défaut si ça vous rassure. Du point de vue sécurité, ça n'a pas vraiment d'impact.

Des attaques sur quoi ? C'est vous qui devriez faire une vue d'écran de celles-ci afin de déterminer leur(s) origine(s).

Une capture du parefeu serait utile aussi.

[bibou64]

Salut @Mic13710,

J'ai des attaques sur mon compte Admin (pourtant désactivé), cf screenshot ci-dessous.

Pour ce qui est du routeur et firewall, j'avais tenté d'appliquer simplement les préconisations du tuto, mais ça me bloque depuis l'étranger où je vais souvent.

L'idéal pour moi serait d'avoir un accès possible uniquement via OpenVPN, comment faire ?

Merci !

 

 

[Mic13710]

Ces captures ne montrent pas les attaques. C'est dans les journaux que se trouvent ces informations.

Je vois que vous n'avez pas appliqué le tuto.

Pour commencer, il y est dit que de faire la configuration du routeur via DSM n'est pas conseillé. Et je confirme ce point. Tout paramétrage du routeur doit se faire uniquement dans le routeur.

Ensuite, vous appliquez des changements de ports à l'envers. Ce sont les ports externes qu'il faut modifier (bien qu'illusoire), pas forcément ceux du NAS. Diriger par exemple le 5000 WAN vers le 40641 du NAS n'a aucun sens puisque le seul port public accessible est le 5000, port qu'il n'est pas du tout recommandé d'ouvrir. Ouvrir le 5000 (http) sur l'extérieur (ou tout autre port non sécurisé) donne un accès en clair à DSM.

Je ne comprends pas non plus qu'il y ait des ports ouverts pour quickconnect dans la mesure où quickconnect n'a pas besoin de port spécifique pour fonctionner. Après, utiliser quickconnect n'est pas non plus préconisé dans le tuto...

Je ne sais pas ce que cache la première règle du parefeu mais faire une ouverture au monde entier vous expose à des attaques venues de pays dont c'est le sport national. Limitez la zone aux seuls pays avec lesquels vous avez des rapports pour réduire votre surface d'exposition.

Enfin, ce n'est pas parce que vous avez des tentatives de connexion sur le compte admin qu'il faille s'alarmer. Si le compte est désactivé, aucune intrusion n'est possible. Il en serait de même sur un compte inexistant, que ce compte se nomme toto ou tartempion. Le compte admin est le plus prisé des hackers, il est normal d'avoir des tentatives sur ce compte.

Pour l'accès via le VPN, vous avez un excellent tuto dans la partie tutoriels.

[bibou64]

@Mic13710

Prenons les choses dans l'ordre:

1) routage des ports

J'ai bien appliqué le routage ci-dessous sur la freebox, amis cela ne fonctionnait pas si je n'ajoutait le routage sur le NAS...j'avoue ne pas comprendre pourquoi...

Par ailleurs, les règles Quickconnect ne sont pas supprimables (boutons grisé)

2) Port 5000

"le seul port public accessible est le 5000, port qu'il n'est pas du tout recommandé d'ouvrir. Ouvrir le 5000 (http) sur l'extérieur (ou tout autre port non sécurisé) donne un accès en clair à DSM.

=>donc je dois remplacer 5000 sur ma box par n'importe quelle valeur aléaotoire ?

 

3) VPN

Voici ce que me renvoie le Search quand je cherche VPN sur le site 😞 Auriez-vous un lien à partager ?

Merci !

Modifié le 16 juillet 2023 par bibou64

[Mic13710]

Il y a 3 heures, bibou64 a dit :

J'ai bien appliqué le routage ci-dessous sur la freebox, amis cela ne fonctionnait pas si je n'ajoutait le routage sur le NAS...j'avoue ne pas comprendre pourquoi...

Il n'y a pas de logique et encore une fois, il n'est pas recommandé de faire le paramétrage du routeur via le NAS. Cette fonction ne devrait même pas exister.

Une fois le port redirigé de la freebox vers le NAS, si ça ne fonctionne pas c'est qu'un paramétrage du NAS bloque le trafic. Le fait d'avoir invoqué ce port a certainement permis au trafic de s'établir mais ce n'est pas la bonne méthode. Avez-vous essayé de supprimer la règle dans le NAS ?

Il y a 3 heures, bibou64 a dit :

les règles Quickconnect ne sont pas supprimables (boutons grisé)

C'est surtout quickconnect qu'il ne faudrait pas utiliser. Ca aussi, on en parle dans le tuto. Mieux vaut utiliser un nom de domaine. Vous pouvez en prendre un gratuit chez synology (avec ses limitations) en xxxxx.synology.me. C'est toujours mieux que quickconnect. Il faudrait aussi demander à Free une IP full stack pour pouvoir bénéficier de l'entièreté des ports.

Il y a 3 heures, bibou64 a dit :

donc je dois remplacer 5000 sur ma box par n'importe quelle valeur aléaotoire ?

Vous n'avez pas bien compris ce que je vous ai expliqué. Vous supprimez purement et simplement le 5000 ou tout autre port http qui permet de se connecter au NAS car c'est dangereux pour la sécurité de votre NAS. Si le fait de mettre en oeuvre ce tuto était de sécuriser votre NAS, donner un accès externe en http est tout sauf sécurisant.

Il y a 3 heures, bibou64 a dit :

Auriez-vous un lien à partager ?

C'est pourtant bien en évidence dans la partie Tutoriels où vous avez su trouver ce tuto 😉.

https://www.nas-forum.com/forum/topic/53328-tuto-vpn-server/

 

[bibou64]

Merci @Mic13710

J'ai donc désactivé Quiconnect et purgé la liste complète des entry routeur NAS.

La connexion directe en https://monip:5001 fonctionne correctement, au certificat près (à traiter via Let's Encrypt).

Une question néanmoins, j'avais modifié les ports ici: Applications => Services Web

et donc routé sur ma box les 5001 => 40643

Mais cela n'a aucun intêret, si ?

A quoi sert ce setting ?

Merci encore !

[Mic13710]

Je ne comprends pas ce que vous ne comprenez pas.

A quoi cela vous sert-il de modifier les ports internes si vous utilisez des ports externes identiques à ceux par défaut ?

Lorsque de l'extérieur vous tapez l'URL https://monip:5001 et que vous arrivez sur DSM via le port 40643, c'est exactement comme si vous gardiez le 5001 par défaut du NAS et que vous dirigiez dans le routeur le même 5001 vers le 5001 du NAS. Votre changement de port ne sert strictement à rien si ce n'est de compliquer votre propre utilisation puisqu'en interne vous devez passer par le 40643 pour atteindre DSM et le 5001 en externe.

Si vous vouliez vraiment changer de port, il fallait rediriger le 40643 du routeur vers le 40643 du NAS et utiliser l'URL https://monip:40643 pour atteindre DSM.

[bibou64]

@Mic13710 merci pour ton aide, c'est très clair et effectivement assez évident. 🙂

 

[Drayabob]

Le 18/07/2023 à 01:27, bibou64 a dit :

@Mic13710 merci pour ton aide, c'est très clair et effectivement assez évident. 🙂

 

Bonjour @bibou64,

j’ai vu que tu as une Freebox: 

si ton NAS est sur le réseau de ta Freebox, alors tu peux aussi activer le VPN de ta Freebox avec WIREGUARD et installer le client VPN WIREGUARD sur ton Mac, sur ton iPhone, …

tu n’es donc pas obligé d’utiliser le VPN du NAS qui n’as pas le protocole WIREGUARD pour l’instant…

ainsi, tu n’auras plus à te soucier de la sécurisation de ton NAS qui sera plus simple à paramétrer. En effet, ton réseau domestique ( pas que ton NAS d’ailleurs) sera protégée par le VPN de ta box. 
Quand tu te connectes en VPN, c’est comme si tu étais à la maison, donc tu n’as pas à ouvrir de ports hors le réseau 10…. 172… et 192.168….  Puisque tu es en local. 
Tu n’as qu’un port à ouvrir dans ta Freebox, celui du VPN WIREGUARD, dont je te conseille également de changer le port par défaut attribué.

Seul inconvénient de ce paramètrage : il faut installer le client WIREGUARD sur les ordinateurs, tablette, TV , téléphones, que tu utilises.

J’ai aussi demandé à FREE une IP FIXE, et FULL STACK (paramètres à faire sur son espace Freebox). 

J’ai quand même suivi les conseils pour sécuriser mon NAS sur les Tuto du site. 

merci au passage à @Mic13710 pour tous ses très bons conseils. 

En tout cas pour ma part, je n’utilise pas le VPN serveur du NAS.
Pour renouveler le certificat let’s encrypt tous les 3 mois, j’ouvre le port 443 sur le pare-feu du NAS juste le temps du renouvellement. 
Bonne journée 

 

Modifié le 24 juillet 2023 par Drayabob

[bibou64]

Merci @Drayabob pour ton message détaillé ! 👌

[Pinpon_112]

Bonjour,

Je viens de refaire le tuto pour mon nouveau nas.

Problème, dès que j'ai activé le pare-feu, tout s'est mis en grisé ensuite et je ne peux plus rien éditer.  Que puis-je faire pour résoudre ce problème ?

 

[firlin]

@Pinpon_112, tu as essayé de te déconnecter  et de te reconnecter ?
Pourquoi avoir changer le nom du profil ?

Modifié le 15 août 2023 par firlin