This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Fenrir

[TUTO] Sécuriser les accès à son nas

Messages recommandés

merci @fenrir pour ce tuto. j'ai pas tout pris en compte mais c'est bien de passer les themes /zone de paramétrage en revue et de se reposer les bonnes questions avec 'security' en tete. .

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 01/12/2016 à 19:33, Fenrir a dit :

ex04.png

Un petit menu que beaucoup oublient de configurer, il n'est pas obligatoire et pas lié (pas directement du moins) à la sécurité mais ça permet d'éviter de chercher des heures la raison pour laquelle un lien de partage (par exemple) ne fonctionne pas.

Attention, il faut vider ces champs si vous utilisez des noms de domaine ou des ports spécifiques (portail des application, reverse proxy, ...).

 

Salut,
Je viens d'activer mon reverse proxy (ça fonctionne pico bello 😉 )et pour le partage j'ai donc appliqué la recommandation de vider ces champs.
Et bien chez moi, le partage ne fonctionn eplus.
Mais en mettant dans le <Nom d'hôte ou IP statique> la valeur que j'ai entrée dans mon reverse proxy pour accéder à mon DSM ça fonctionne.

Serait-ce lié aux dernières mises à jour de DSM ?

Partager ce message


Lien à poster
Partager sur d’autres sites

En omettant les ports, ce sont les 5000 et 5001 qui sont utilisés. Comme j'utilise le serveur DNS avec le reverse proxy et que je ne passe que par le 443 pour mes accès externes, ça permet d'avoir des liens de partage plus propres (sans indication de port). Les 5000 et 5001 ne sont utilisés qu'en interne pour accéder au DSM.

Partager ce message


Lien à poster
Partager sur d’autres sites

Il y a tellement de combinaisons de conf (avec ou sans DNS, avec ou sans netbios, avec ou sans reverse proxy, avec ou sans les ports par défaut, avec ou sans QC, avec ou sans VPN, ...) que je ne peux pas gérer tous les cas de figure 😛

=>l'important c'est de comprendre la portée des réglages et de savoir qu'ils existent en cas de problèmes 🙂

Modifié par Fenrir

Partager ce message


Lien à poster
Partager sur d’autres sites

@FenrirJe personnalise mon firewall depuis internet via un VPN (le NAS est le client), et bim voila ce qui arrive lorsque je souhaite sauver avec la regle 4, reject all, la derniere. J'arrive de l'exterieur depuis une IP de bouygues telecom donc mon filtrage sur les ports 5000 et 5001 limites a la france ne doit pas poser de soucis. A votre avis d'ou cela peut il provenir ?

Inkedfirewall_LI.jpg.2cc1ca4d6c63917b74fd52ff03827b42.jpg

Modifié par Brenac

Partager ce message


Lien à poster
Partager sur d’autres sites

Autre point, le filtrage par géolocalisation. L'adresse IP fixe qui m'est assignée  est par exemple indiquée comme géolocalise en Angleterre sur ipaddress.com (ce qui est mon contrat avec mon fournisseur de vpn), par contre localisée aux US pour pleins d'autres sites de 'geolocalisation'. Du coup peut t on se fier a ce référentiel ??? 

Dans le même registre je sais que RIPE ne met a jour la localisation des subnets au sein du RIR qu'a l'occasion d'un transfert. Ainsi un LIR qui a plusieurs entité en europe (ou des serveur sous traites) dispatch allègrement ses IP aux 4 coins de son implémentation européenne. ...

 

Quel est le referentiel du syno du coup ?

Partager ce message


Lien à poster
Partager sur d’autres sites

@Fenrir Petite suggestion pour le tuto. Dans la partie protection, DoS, ne pas oublier de cocher toutes les interfaces une a une. En effet qui n'a pas débranché son câble ethernet puis remis au hasard sur un autre port, ou ajoute comme moi un dongle 4G en secours. Autant pour firewall on a par défaut toutes les interfaces, autant pour la protection c'est 1 a 1.

s04.png

Partager ce message


Lien à poster
Partager sur d’autres sites

Oui, tu peux te fier à la localisation.

J'ai récemment partagé un dossier avec une personne se trouvant en Australie et je l'avais complètement oublié et bien elle n'a pas pu atteindre mon NAS. Après ajout de ce pays sur mon port 443, elle a réussi à prendre le dossier en question.

Modifié par InfoYANN

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 18/05/2018 à 14:54, Brenac a dit :

A votre avis d'ou cela peut il provenir ?

Tu n'arrives pas avec l'une des IP autorisée pour x ou y raison.

Le 19/05/2018 à 02:17, Brenac a dit :

Quel est le referentiel du syno du coup ?

Probablement un service comme maxmind ou ipdeny, mais la geolocalisation IP n'est pas une science exacte (loi de là), pour les IP d'opérateur officiel c'est assez fiable (les FAI), pour le reste, c'est random.

Le 19/05/2018 à 10:34, Brenac a dit :

Petite suggestion pour le tuto ...

Chacun doit bien sur adapter à ses besoin (je n'ai jamais branché de dongle 4g ou sur un autre port au hasard et je en souhaite pas non plus avoir cette protection sur toutes les interfaces => choix perso), mais j'ai ajouté un commentaire

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour ma part, je n'utilise pas la géolocalisation car trop aléatoire.

Pour restreindre les accès, j'utilise plutôt le registre du RIPE NCC. Par exemple, Free Mobile (mon opérateur mobile) utilise le réseau 37.160.0.0/12 pour adresser ses clients mobiles :

fr.freemobile
    Free Mobile SAS

    20111214	37.1.232.0/21	ALLOCATED PA
    20111214	37.8.160.0/19	ALLOCATED PA
    20120308	37.160.0.0/12	ALLOCATED PA
    20180307	2a0d:e480::/29

Donc j'ai juste à rajouter une règle autorisant ce réseau dans le pare-feu.

Vous pourrez trouver les réseaux d'autres opérateurs Français (je n'y connais rien en opérateurs Belges ou Suisses, désolé) sous les noms suivants :

  • Bouygues Telecom
    • fr.bouygtel
  • Free
    • fr.proxad
    • fr.freemobile
  • Orange
    • fr.telecom
  • SFR
    • fr.completel
    • fr.ldcomnet
    • fr.sfr
    • fr.sfr-collectivites

Partager ce message


Lien à poster
Partager sur d’autres sites

Le problème vient du fait que les bases des RIR sont mises à jour quotidiennement. Je doute fort que Synology suive ce rythme pour la base utilisée par le pare-feu.

Concernant les FAI, c’est effectivement très fiable. Il arrive qu’il y ait des regroupements comme chez Bouygues (fr.grolier > fr.bouygtel).

Partager ce message


Lien à poster
Partager sur d’autres sites

Un grand merci à toi poru ce super tuto complet et simple à suivre. Je viens d'acquérir mon premier NAS et je suis dans la conf.

Je galère un peu au niveau de la conf FW (qui rend mon accès depuis intetnet non fonctionnel pour l'instant, meix vaut ça que l'inverse :) ) mais je vais creuser un peu plus

Partager ce message


Lien à poster
Partager sur d’autres sites

question peut être idiote: en limitant dans le firewall par géolocalisation on s' interdit pas du coup de recevoir des email depuis les pays bloques (ou suivant son implémentation) QUE des pays listes ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Ou as-tu vu/lu qu'il fallait configurer les ports concernant un serveur mail uniquement pour la France ? Si tu fais ça, tu oublis tout de suite de recevoir des mails de Gmail, Yahoo, Outllook, Hotmail, Protonmail, etc..

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 2 heures, InfoYANN a dit :

Ou as-tu vu/lu qu'il fallait configurer les ports concernant un serveur mail uniquement pour la France ? Si tu fais ça, tu oublis tout de suite de recevoir des mails de Gmail, Yahoo, Outllook, Hotmail, Protonmail, etc..

en faisant cette 4eme regle c'est ce que tu fait non ? tout est bloque mail, web  etc.. tu rajoute au dessus de cette derniere ligne les exceptions non ? Aisni si tu as ton serveur MX il faut autoriser les ports smtp soit pour tous soit que pour certains pays, et si ce pays n'est pas liste: pas de reception d'email de la part de ce pays. 

s03.png

Sauf erreur de ma part 

 

Modifié par Brenac

Partager ce message


Lien à poster
Partager sur d’autres sites

Je ne sais pas si le parefeu a la possibilité de bloquer des mails par géolocalisation. Si cela est possible, je n'y vois aucun intérêt. Jusqu'à preuve du contraire, un mail ne constitue pas une menace directe. C'est à celui qui le reçoit d'en vérifier la provenance avant de l'ouvrir. Et très souvent les contenus douteux proviennent d'adresses hébergées chez des FAI français.

Partager ce message


Lien à poster
Partager sur d’autres sites

@Brenac

Sauf que là, il n'y a que des plages d'ip locales mises par Fenrir. Tu n'as pas du lire tout le tuto car il doit bien préciser je pense qu'après c'est général et qu'on doit ajouter nos règles.

Là, tu n'as aucune règle qui autorise ton serveur mail donc tu devras mettre entre la troisième et la quatrième règle une nouvelle règle qui autorise le port 25, 587 et 993 à tout le monde.

La quatrième règles qui est en "refuser" doit TOUJOURS rester en dernière position !

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a une heure, InfoYANN a dit :

il doit bien préciser je pense qu'après c'est général et qu'on doit ajouter nos règles.

Toi non plus tu n'as bien lu ☺️

Il y a 5 heures, Brenac a dit :

tout est bloque mail, web  etc.. tu rajoute au dessus de cette derniere ligne les exceptions non ?

 

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 4 heures, InfoYANN a dit :

@Brenac

Sauf que là, il n'y a que des plages d'ip locales mises par Fenrir. Tu n'as pas du lire tout le tuto car il doit bien préciser je pense qu'après c'est général et qu'on doit ajouter nos règles.

Là, tu n'as aucune règle qui autorise ton serveur mail donc tu devras mettre entre la troisième et la quatrième règle une nouvelle règle qui autorise le port 25, 587 et 993 à tout le monde.

La quatrième règles qui est en "refuser" doit TOUJOURS rester en dernière position !

@InfoYANN, merci, on va dire plutot 25,465 et 587 pour la reception je pense. 993 est un port IMAP

 

Il y a 5 heures, Mic13710 a dit :

Je ne sais pas si le parefeu a la possibilité de bloquer des mails par géolocalisation. Si cela est possible, je n'y vois aucun intérêt. Jusqu'à preuve du contraire, un mail ne constitue pas une menace directe. C'est à celui qui le reçoit d'en vérifier la provenance avant de l'ouvrir. Et très souvent les contenus douteux proviennent d'adresses hébergées chez des FAI français.

oui @Mic13710 il le peux et c'est ce que fait @Fenrir (en ouvrant certaines appli a certains pays) mais du coup si tu as un mailserver sur ton nas il faut, si tu ne veux pas bloquer les mail entrants , mettre une regle ad hoc. Apres on peux toujours douter de l'exactitude de la geolocalisation (et je suis bien place pour le savoir) mais c'est deja mieux que rien.

Moi je me suis fait une politique inverse . je part du principe que je j'autorise (presque)  tout de partout, sauf de certains pays (une 40 aine, des paradis sur terre en general mais pas que) pour qui tout est bloque (et c'est en faisant cela et en testant depuis par exemple la russie (au hazard hein) je ne peux meme pas voir mon site web sur mon NAS). Donc maintenant dans les pays dits exclus (15 par regles) j'autorise quand meme 80,443,25,465.587.  C'est une autre approche.

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement