This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Fenrir

[TUTO] Sécuriser les accès à son nas

Messages recommandés

Le 08/06/2018 à 13:42, Brenac a dit :

Moi je me suis fait une politique inverse

Mauvaise pratique, ce n'est pas à faire (moins fiable et moins performant)

La bonne pratique est d'autoriser ce qui doit l'être et de bloquer le reste par défaut

Dans le cas d'un serveur MAIL, il faut autoriser le port 25 depuis les pays susceptibles de communiquer avec le nas, les autres ports (587 par exemple) peuvent être limités en fonction des besoins

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 25/05/2018 à 11:25, Fenrir a dit :

 

Probablement un service comme maxmind ou ipdeny, mais la geolocalisation IP n'est pas une science exacte (loi de là), pour les IP d'opérateur officiel c'est assez fiable (les FAI), pour le reste, c'est random.

synology utilise en effet Maxmind , on retrouve la terminologie GeoIP quand une adresse est bloquee apres trop de tentatives et que sa géolocalisation n'a pas été trouvée. 

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 14 heures, Fenrir a dit :

Mauvaise pratique, ce n'est pas à faire (moins fiable et moins performant)

La bonne pratique est d'autoriser ce qui doit l'être et de bloquer le reste par défaut

Dans le cas d'un serveur MAIL, il faut autoriser le port 25 depuis les pays susceptibles de communiquer avec le nas, les autres ports (587 par exemple) peuvent être limités en fonction des besoins

ce n'est pas antinommique. avec ici une hierarchisation des blocages, tout pour certains pays, a moins pour le reste. comme ici

- ton super tuto ajuste pour mes besoins:

    - mes serveurs qui se backup l'un l'autre et l'un servant de DNS zone slave pour l'autre

 - du ssh que depuis la france (et encore, pas sur de le laisser tellement il est sollicite) ou local

- des pays exotiques totalement bloques

- le reste qui accede au serveur web et au port 25

- gestion de france

- on ferme la porte.  

 

fw.png

Modifié par Brenac

Partager ce message


Lien à poster
Partager sur d’autres sites

Alalala... comment faire crapahuter le pare feu pour rien... ta triple règle refuser la... tu ne trouverais pas plus simple de seulement autorisé 2/3 pays que tu es successible de visité, que d’en bloqué des dizaines ?

Personellement j’utilise pas le remplissage de toutes les interfaces, je met dans chaque interface (qui de base refuse tout), j’utilise les deux ports lan, et je n’ouvre pas les mêmes services sur chaque... et je ne vois pas pourquoi j’ouvrirais des ports inutilement...

Partager ce message


Lien à poster
Partager sur d’autres sites

en fait le problème si cela en est un, c'est que je veux bien recevoir des email de Syrie ou qu'un chinois navigue sur mon site mais pas plus. C'est aussi le moyen de mettre les pays européen utilises pour tenter des attaques sans pour autant les fermer totalement, toujours en raison du serveur MX et wouaib. Je me laisse 10 jours pour analyser la performance 🙂

je vais reflechir a ta suggestion de muliples interfaces...

Partager ce message


Lien à poster
Partager sur d’autres sites

Encore merci à Fenrir pour ce tuto.

Je dois avouer que vu mon niveau réseau qui est de l'ordre de 0 (faudra que je me dégage du temps pour suivre une Classroom), j'ai pas tout compris mais tout appliqué sauf :

1. création d'un nouveau compte admin: lors de l'étape de configuration, j'ai créée un compte admin avec un mot de passe fort...du moins c'est ce que m'indique l'interface conseiller de sécurité. J'ai pas bien compris pourquoi il faudrait en recréer un. Par ailleurs, au niveau du panneau de config, pourquoi y-a-t-il un compte admin de créée et qui est désactivé?

2. certificat: j'ai laissé le certificat Synology par défaut. Y-a-t-il un souci de le laisser? La démarche de changement de certificat...j'ai l'impression de devoir gravir l'Everest en tongs 🙂

3. activer le SSH

4. Accès externe: j'ai rien qui apparaît dans cette section...c'est sans doute normal vu que mon nas est tout neuf...

5. Désactivation des 3 recommandations de Synology concernant les changements de port

Si au niveau des points 3 et 5 je suis le tuto, l'interface conseiller de sécurité m'informe d'un problème de sécurité au niveau du réseau et du compte. En n'appliquant pas les conseils des points 3 et 5, tout est au vert dans l'interface. 

Y-a-t-il un risque de laisser comme ça?

Merci pour votre réponse.

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

1. En faite, le tuto de Fenrir date de l'époque ou de base on avait un compte nommé "admin". Maintenant, DSM a eu l'intelligence de demandé directement un compte perso. Par contre, je te recommande d'avoir un second compte admin pour lequel tu n'auras l'utilisation qu'en cas d'urgence si par exemple le compte admin principal était inaccessible pour x ou y raison. Bien entendu, ce second compte doit avoir un mot de passe très fort !

2. Aucune incidence, tu auras juste un avertissement de sécurité sur ton navigateur et si tu veux faire du partage de fichiers, ça peut faire peur aux autres utilisateurs.

3. Pour récupérer un NAS qui a un soucis, il peut être utile d'y accéder par SSH. Bien souvent des membres ont des soucis mais n'ont pas activé SSH donc ils ne peuvent pas être aidés.

4. Tout à fait, c'est à toi de remplir les champs.

 

Que te dit le conseiller de sécurité ? Il faut faire attention car certains choses dites sont nulles comme par exemple la redirection automatique en https. Il le signale comme un soucis !

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut InfoYann,

Merci pour ta réponse rapide.

Si je réactive le SSH comme conseillé par Fenrir, j'obyiens la réponse suivante du conseiller de sécurité:

Capture_SSH1.PNG.8f70a30f763aa2fa68501aa79978e602.PNG

Capture_SSH2.PNG.0cec96571e9381aa056d835ccfe6f4f4.PNG

Lorsque je désactive les 3 recommandations de Synology concernant les changements de port:

Capture_CS1.PNG.452ff806d2996b4625e69f72d4db358e.PNG

j'obtiens les infos suivantes:

Capture_CS2.PNG.a7161dcad4dbc73f461c3aa318c5286b.PNG

Capture_CS3.thumb.PNG.5c91e89b1c5350189f022b82d81c8741.PNG

Lorsque je désactive le SSH et remet les paramètres par défaut du conseiller de sécurité, tout redevient OK:

Capture_CS4.PNG.14d164965bbb59c5b61d15a2d94c9483.PNG

Merci pour ton avis

 

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour SSH, tu peux simplement modifier le port là ou tu as activé SSH et ça devrait régler le soucis 🙂

Port à ne pas oublier quand tu voudras t'y connecter.

Modifié par InfoYANN

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 16/06/2018 à 12:53, InfoYANN a dit :

Pour SSH, tu peux simplement modifier le port là ou tu as activé SSH et ça devrait régler le soucis 🙂

Port à ne pas oublier quand tu voudras t'y connecter.

Hello,

Pour le port, par défaut il est indiqué 22. Il faudrait que j'indique un numéro de port au pif, ex. 23 et le tour est joué?

Pourquoi le port 22 pose problème?

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

Ce n'est pas qu'il pose problème, c'est que c'est le port par défaut donc connu de tous pour le protocle SSH. Comme pour FTP, c'est 21, https c'est 443 etc et le conseiller de sécurité n'aime pas trop ça et c'est d'ailleurs aussi pour ça qu'il y a cette possiblité de le modifier.

Par contre, tu peux utiliser le port que tu veux mais il faut t'assurer qu'il ne sert pas déjà pour une autre fonction, un service ou un protocole. 23 est par exemple utilisé pour Telnet si je ne dis pas de bêtises...

Après, point de vue sécurité, c'est pas spécialement top du top de modifier un port parce que si on scanne ton IP, on peut connaître les ports ouverts.

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 54 minutes, InfoYANN a dit :

Après, point de vue sécurité, c'est pas spécialement top du top de modifier un port parce que si on scanne ton IP, on peut connaître les ports ouverts.

je comprends donc qu'il vaut mieux ne pas activer le SSH car si je modifie le port il est ouvert et crée une brêche du point de vue sécurité...je me trompe?

Partager ce message


Lien à poster
Partager sur d’autres sites

En clair, il ne sert pratiquement à rien de modifier les numéros de ports par défaut car ça ne ralentirait que de quelques secondes un bon hacker et que ça complique l'utilisation du NAS. Perso j'ai gardé tous les ports par défaut du NAS dont le 22.

Ce qui est infiniment plus important, c'est de n'ouvrir vers l'extérieur que les ports réellement utiles et de les sécuriser au maximum. Par exemple, je n'ouvre pas le 5001 (et encore moins le 5000) vers l'extérieur, ni même les autres ports (file station, video station etc...). Avec un seul port (le 443), un NDD et le reverse proxy, j'accède à tout. Et pour ce qui est du 22, on ne l'ouvre pas dans le routeur ce qui supprime de facto toute tentative d'attaque extérieure sur ce port.

Partager ce message


Lien à poster
Partager sur d’autres sites

OK. La modification de port du SSH n'était prévue que sur le NAS pas sur le routeur.

Par contre si je laisse sur le port par défaut à savoir le 22, j'ai un message  de risque du conseiller de sécurité, cf. captures en haut de cette page.

Partager ce message


Lien à poster
Partager sur d’autres sites

Dans ce cas, tu as deux solutions :

  1. Tu changes le port (chacun son point de vue sur ce cas même si ça arrêtera pas un bon hacker)
  2. Tu décoches la règle concernant la vérification du port SSH dans le conseiller de sécurité.

Dans les deux cas, tu n'auras plus l'alerte !

Partager ce message


Lien à poster
Partager sur d’autres sites

pour la partie blocage d'IP, j'ai augmenté la durée (1200mn). J'ai remarqué que, sur mon syno, les tentatives d'authentification se passaient sur de longues périodes, avec parfois 3 ou 5 mn entre chaque tentative de la même IP, et ce pendant plusieurs jours.

Partager ce message


Lien à poster
Partager sur d’autres sites

yes, dans les journaux. des tentatives de connexions continuelles depuis de multiples adresses. mais à des intervalles de plusieurs minutes pour les mêmes adresses.

Modifié par Brunchto

Partager ce message


Lien à poster
Partager sur d’autres sites

Le blocage automatique est indispensable pour ceux qui exposent leur serveur SMTP.

J'ai également beaucoup de tentatives d'authentification qui sont bloquées (2 par jour en moyenne avec une rétention de 3 mois).

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

Une question concernant le paramétrage du Firewall pour IPv6 :

lorsque je me connecte depuis  mon LAN sur mon DS718+, les Log du NAS indique que l'IPv6 publique de mon MAC s'est connectée.

Du coup,  je ne comprends pas dans quel cas l'adresse en fe80:: est utilisée ...

une idée ?

Seconde question :

Mon DS218+ est derrière un routeur 3G SFR (le réseau mobile SFR n'est pas encore en IPv6). Lorsque je me connecte via Quickconnect à ce NAS depuis mon iPhone (qui est configuré en IPv6 sur le réseau 4G Orange), mon NAS log l'IPv6 de mon iPhone. Le relai Quickconnect encapsule de l'IPv6 dans du v4 ???

Et troisième question :

J'ai un gros doute sur le fait qu'une règle sur une sélection de pays fonctionne en IPv6. Concrètement, je n'arrive pas à distance (connecté en IPv6) à modifier les règles du pare-feu. Il me dit que la modif ne permet pas ma connexion actuelle.

Comment puis-je confirmer / infirmer cela ?

Modifié par StéphanH

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour, j'écris ce message pour me faire taper sur les doigts 🤣

J'avais suivi le tuto lors de l’installation du NAS, mais je n'ai jamais fini la partie accès à distance au NAS via un VPN... ou en SFTP...

Bon, Orange m'a changé la livebox du bureau sans ma présence. Je n'arrive pas à me rappeler des règles que j'avais sur ma box...

J'ai bien changé le login / mot de passe admin admin qu'ils avaient laissé...

Sur la box voici ce que j'ai :

Capture31.PNG.0c3d7ccccc2c5f263f4b7753392baaee.PNG

Et voici ce que j'ai en config sur le NAS :

Capture32.thumb.PNG.986fb650fff6a1901dd26d3f579ada1e.PNG

Capture33.thumb.PNG.2c3ec9fdbd9ec2edb5972a9b55cdf4c3.PNG

Dois je laisser la règle du PORT 22 sur ma livebox ? (l'IP 192.168.0.3 est bien celle du NAS).

Merci pour votre aide car j'avoue être largué, et ne pas avoir le temps de tout relire...

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour

Pourquoi vouloir ouvrir la boite de Pandore .....port 22 ...ssh . Tu exposes ton Nas au monde extérieur

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant