This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Fenrir

[TUTO] Sécuriser les accès à son nas

Messages recommandés

Salut,

Tout d'abord merci à Fenrir pour son travail et à tous les autres pour leur participation - je n'ai pas encore tout lu des 22 pages, mais c'est déjà très enrichissant.

Jusqu'à maintenant, mon NAS était ouvert vers l'extérieur - avec un mot de passe très fort, mais j'ai eu quand même dernièrement quelques tentatives de login (bloquées après 5 tentatives). Mon besoin d'accès extérieur est uniquement lié à l'accès aux fichiers (à certains de mes dossiers du moins) ainsi que l'accès à download station. Il y a t-il un moyen d'ouvrir uniquement le NAS pour ces services ? 

Merci 🙂

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Tu as une option depuis peu dans "Panneau de configuration > Portail des applications > Porfil de contrôle d'accès" ou tu peux limiter des services par accès LAN et VPN uniquement.

Tu peux aussi limiter les services en n'ouvrant pas les ports sur ta partie routeur.

Ex: service FTP, tu ouvres pas le port 21.

Modifié par Zeus

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

Il y a surement plusieurs méthodes. Moi je limiterais l'accès aux applications au groupe user et n'autoriserais que l'appli download Station et Filestation. 

Pour les tentatives d'intrusion on peut juste les limiter. Déjà il ne faut autoriser l'accès qu'aux pays de tes utilisateurs.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour, tout d'abord, merci pour le tuto très détaillé de @Fenrir que je remercie chaleureusement.

Je n'ai pas tout appliqué de ses consignes (double autentification p exemple) mais une bonne partie de ses recommandations.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

J'avais utilisé le tuto à la mise en place de mon NAS (usage entreprise) il y a plus d'un an.

Tout roule, mais pour me rassurer, je viens de tout repasser. Il y a plusieurs choses que je ne comprends pas et/ou je me pose des questions.

Je précise que nous ne faisons aucun accès distant au NAS depuis l'extérieur (nous accédons à nos documents sur dropbox qui fait une synchro du NAS avec Cloud Sync (nous avons en plus toutes les sauvegardes qui vont bien).

Donc dans l'ordre (désolé c'est un peu long) !

1- Accès externe : toutes les pages de configuration sont "blanches", ça veut dire que l'accès au NAS depuis l'extérieur n'est pas possible ? (c'est bien ce que nous souhaitons)

2- Réseau : A quoi sert de cocher dans "paramètres de DSM" la case "Activer HTTP/2 (nous ne nous servons pas du navigateur web du NAS), même si l'on ne s'en sert pas ai je un intérêt à cocher cette case ?

3- Parefeu : Voici ma capture de ce que j'ai (j'ai suivi votre tuto), par contre snapshot je pense que c'est le programme qui se l'ait ajouté tout seul (pas de pb ?)

Capture15.PNG.b99863d866579f3a5cf15fce6fb0a640.PNG

4- Sécurité - Compte (blocage auto dans votre tuto) : A quoi sert de permettre d'activer l'expiration des blocages ? (1 jour) ça ne permet pas à l'attaquant de réessayer, voir réussir son attaque ?

Il y a des paramètres en plus sur cette page, y a t il des choses à y faire, voici la capture :

Capture16.thumb.PNG.0f5b5b6cda39b2f2d7bff65a4aaa62e8.PNG

5- Certificat : Pourquoi ne pas faire confiance au certificat de Syno, quel risque de le laisser ?

6- Privilège : J'ai cette configuration qui est appliquée pour tous les programmes, qu'en pensez vous ? (à l'exception de rsync refus complet y compris administrateur)

Capture17.PNG.9715503c02a6a9a5a34cb5db101ee433.PNG

7- Portail application : j'ai ça qu'en pensez vous ?

Capture18.PNG.e39d0f2ff30fb96668b26a8c99720882.PNG

8- Conseiller de sécurité me donne ça. Pourquoi des risques "élevés" sont en vert ???

Capture19.PNG.7595865a916c0d78acd848be2e7be027.PNG

Désolé pour la longueur du post, et merci pour votre aide.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

Quelques petites recherches t'aurait déjà permit d'avoir des réponses à certaines questions...😐

Citation

1- Accès externe : toutes les pages de configuration sont "blanches", ça veut dire que l'accès au NAS depuis l'extérieur n'est pas possible ? (c'est bien ce que nous souhaitons)

De quelles pages parles-tu stp ?

Citation

2- Réseau : A quoi sert de cocher dans "paramètres de DSM" la case "Activer HTTP/2 (nous ne nous servons pas du navigateur web du NAS), même si l'on ne s'en sert pas ai je un intérêt à cocher cette case ?

Pas d'intérêt dans ton cas. Quant à l'explication sur cette option, il suffit de la lire juste en dessous de l'option à cocher 🙄

Citation

3- Parefeu : Voici ma capture de ce que j'ai (j'ai suivi votre tuto), par contre snapshot je pense que c'est le programme qui se l'ait ajouté tout seul (pas de pb ?)

Très bien. Pour "snapshot", c'est pas automatique et c'est toi qui l'a validé sans faire attention suite à l'installation du paquet. Quand tu installes un paquet, ce dernier te demande toujours si tu acceptes d'ouvrir les ports pour ce dernier.

Tu aurais du refusé 😉

Si tu n'en as pas besoin alors tu peux certainement désactiver cette règle sauf si le paquet en a besoin pour fonctionner.

Citation

4- Sécurité - Compte (blocage auto dans votre tuto) : A quoi sert de permettre d'activer l'expiration des blocages ? (1 jour) ça ne permet pas à l'attaquant de réessayer, voir réussir son attaque ?

Le blocage de compte permet à un attaquant de ne pas pouvoir faire de bruteforce. Je te laisse chercher...

Et oui, même si tu ne mets pas ton NAS en réseau sur internet, je te recommande vivement de la mettre en place. Une attaque ne se fait pas forcément sur un seul appareil. Il peut très bien rentré dans ton réseau local de l'extérieur via un autre appareil mal sécurisé et ensuite attaquer ton NAS. Tu peux aussi appliquer une règle pour que le blocage ne se fasse pas sur des IPs sûres si tu le souhaites.

Citation

5- Certificat : Pourquoi ne pas faire confiance au certificat de Syno, quel risque de le laisser ?

Ce n'est pas vraiment une histoire de confiance mais plutôt de reconnaissance. Les navigateurs ne le reconnaissent pas comme fiable et dans ce cas, ils mettent des messages qui peuvent faire peur.

Dans ton cas, tu peux le garder et l'utiliser.

Citation

6- Privilège : J'ai cette configuration qui est appliquée pour tous les programmes, qu'en pensez vous ? (à l'exception de rsync refus complet y compris administrateur)

Bah ça, c'est à toi de voir. Comme on ne sait pas ce que tu fais avec ton NAS et quelle utilisation tu autorises à tes employés, on ne peut pas te dire.

Tu dis simplement ne pas avoir besoin d'accéder au NAS via un navigateur.

Citation

7- Portail application : j'ai ça qu'en pensez vous ?

Rien lol. Tu ne veux pas de ça alors n'y touche pas 🙂

Citation

8- Conseiller de sécurité me donne ça. Pourquoi des risques "élevés" sont en vert ???

Quand c'est vert, c'est que c'est sécurisé pour le système hôte (DSM). Quand c'est rouge, c'est qu'il considère qu'il y a un soucis.

Ensuite, les termes "moyenne, élevé" etc... sont pour signaler l'importante de la règle. Par exemple, l'accès SSH doit certainement être sur élevé.

Voilà, je pense avoir fait le tour 😉

 

Partager ce message


Lien à poster
Partager sur d’autres sites

bonjour,

Merci pour ta réponse, voici les miennes :

Citation

De quelles pages parles-tu stp ?

1- Accès externe, les voici :

Capture20.thumb.PNG.cf14d8776f857bc3588996bc43fb7699.PNG

Citation

Quant à l'explication sur cette option, il suffit de la lire juste en dessous de l'option à cocher 🙄

2- Réseau :  "Activer HTTP/2" oui j'ai vu l'explication, mais lorsque l'on ne se sert pas du navigateur intégré du DSM, y a t il un intérêt sécuritaire à cocher cette case ?

Citation

 

Pour "snapshot", c'est pas automatique et c'est toi qui l'a validé sans faire attention suite à l'installation du paquet. Quand tu installes un paquet, ce dernier te demande toujours si tu acceptes d'ouvrir les ports pour ce dernier.

Tu aurais du refusé 😉

Si tu n'en as pas besoin alors tu peux certainement désactiver cette règle sauf si le paquet en a besoin pour fonctionner.

 

3- Parefeu : effectivement, cette autorisation a dû me passer au-dessus 🤣 Si je supprime cette régle, et que snapshot en a besoin pour fonctionne, je vais avoir un message d'avertissement immédiatement ou ce sera à moi de vérifier que snapshot fait toujours le boulot ? Snapshot est très important pour nous, je m'en sers de façon quasi quotidienne, je ne veux donc pas de plantage sur cette application.

Citation

 

Le blocage de compte permet à un attaquant de ne pas pouvoir faire de bruteforce. Je te laisse chercher...

Et oui, même si tu ne mets pas ton NAS en réseau sur internet, je te recommande vivement de la mettre en place. Une attaque ne se fait pas forcément sur un seul appareil. Il peut très bien rentré dans ton réseau local de l'extérieur via un autre appareil mal sécurisé et ensuite attaquer ton NAS. Tu peux aussi appliquer une règle pour que le blocage ne se fasse pas sur des IPs sûres si tu le souhaites.

 

4- Sécurité - Compte (blocage auto dans votre tuto) : oui je connais l'attaque bruteforce, ce qui m'étonne c'est que par sécurité le tuto conseille de permettre une expiration du blocage, je pensais qu'une fois l'attaquant détecté il était préférable de l'exclure à vie...

Le blocage de compte est bien ACTIF sur mon NAS comme recommandé par le tuto. Ma question porte sur l'expiration d'un (1) jour, apporte t elle un gain de sécurité ou autre chose ?

5- Certificat : Ok, vu je laisse comme ça.

6- Privilège : l'usage du NAS est des plus basique, 2 dossiers partagés sur le NAS en accès total à tous les utilisateurs. Ils sont bien utilisateurs et non administrateurs. L'accès à ces dossiers s'effectue depuis des PC sous win 10.

7- Portail application : Ok, vu je laisse comme ça.

8- Conseiller de sécurité : il m'alerte sur la redirection http vers httpS, qu'en pensez vous car sauf erreur le tuto ne coche pas cette case de redirection et ce n'est pas énoncé dans les 3 règles avec lesquelles l'auteur du tuto n'est pas d'accord.

9- question bonus, puis je vous donner ici, ou dans un autre post, la configuration de mon routeur (livebox business) afin que vous me rassuriez.

Merci pour l'aide fournie 😃

Modifié par ers31

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

1. Pour l'accès externe c'est simple, si rien n'est configuré dans le NAS et rien dans ton routeur (firewall) alors il est uniquement sur le réseau local.

2. Aucun intérêt mais au pire ça mange pas de pain et tu peux quand même l'activer si tu le souhaites.

3. Au pire, ça te prendre trente seconde à la remettre 🙂

4. Je suis plutôt du genre à bannir à vie aussi. Le soucis étant surtout que si cette IP est attribuée un jour à toi ou un employé, proche etc... et bien tu ne pourras pas te connecter car l'IP sera bannie.

Imaginons par exemple que par le plus grand des hasard tu partes en vacances et que sur ton lieu de vacances, ton IP est une IP bloquée définitivement sur ton NAS et bien tu n'y auras pas accès. Après, tu as toujours l'accès VPN...

Mais dans ton cas, en effet, tu peux faire du définitif et mettre éventuellement ton réseau local en protection pour pas que ces IPs soient bannies.

8. En effet, c'est pas dans le tuto de Fenrir mais tu peux toujours la désactiver de ton côté dans le conseiller de sécurité afin qu'il ne t'alerte pas sur cette ligne.

9. Ok, poste tes captures d'écran 😉

 

Modifié par Zeus

Partager ce message


Lien à poster
Partager sur d’autres sites

bonjour,

C'est bon j'ai tout modifié.

Par contre j'ai ça qui ne me semble pas évoqué dans le tuto on fait quoi pour ces paramètres :

Capture28.thumb.PNG.b4fb1303ad94c5b406ee705d60bdb425.PNG

Et voici toutes les captures de ma configuration sur la livebox :

Capture21.PNG.2a9ffecd8aed35cbe262324b4051d3fc.PNGCapture22.PNG.4e9c53138c6fe5f50a29d9b48e8d8a11.PNGCapture23.PNG.962d4f01df67d1d86309afa1b106e0c1.PNGCapture24.PNG.669445bc320b896e2322669966b0c4bc.PNGCapture25.PNG.34daad6ca1736a9b2facdb7a013d5f81.PNGCapture26.PNG.5896329ac28044e89c874ad54681b262.PNGCapture27.PNG.e44d00d786aa7f26a503ad6b7e55579f.PNG

Encore merci pour toute la précieuse aide fournie !

A+

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour à tous et merci à @Fenrir pour ce tutoriel !

J'ai maintenant une petite question, peut être de vocabulaire, dans le tuto dans la partie où il faut créer un Admin avec uniquement des droits d'administration, je l'ai appelé "SuperAdmin" et dans l'onglet "Applications" c'est marqué "Bureau" sur le tuto, sauf que j'ai pas cette "application" dite "Bureau".

Alors j'ai laissé "DSM" de coché puisque j'imagine que c'est l'équivalent de "Bureau" sur le tutoriel ?

187267336_Capturedecran2019-03-09a16_12_31.png.33234b7b818e987853dfc381b44b6033.png

Mais pour le coup ça me laisse perplexe parce que finalement si la sécurité de notre NAS failli et que le pirate à accès à ce compte, il peut quand même effectuer des modifications au niveau de l'administration, bien qu'il aura accès à aucun fichier personnel, cela ne représente-il pas un danger ?

Alors après moi j'ai quand même des réserves sur ce point, parce que j'ai laissé une clé de plus de 20 caractères donc avant que ça tombe j'aurai le temps de voir venir et le blocage auto sera intervenu bien avant, dans mon cas 3 tentatives en moins d'une minute => blocage. Qu'en pensez-vous ?

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 7 minutes, Pr0TiPx8 a dit :

Alors j'ai laissé "DSM" de coché puisque j'imagine que c'est l'équivalent de "Bureau" sur le tutoriel ?

oui.

L'idée est de ne pas utiliser le compte "standard".

De plus, ce compte avait par défaut accès à tout, plus maintenant.

Avec un mdr de 20 caractères tu devrais être tranquille, surtout si tu mes en place la double authentifications.

Si tu veux être sûr de chez sûr, ton compte "superAdmin", tu lui donne un nom aléatoire : "fourchette".

Maintenant pour être sûr que tu peux désactiver le comte admin standard, tu dois d'abord tester le nouveau compte, et comme ça, pas de surprise

Partager ce message


Lien à poster
Partager sur d’autres sites

Ok super.

La double authentification est également en place pour le compte "Admin" et mon compte perso.

J'ai changé le nom pour que ce soit moins équivoque, j'ai juste mis les autorisations sur mon compte perso pour accéder aux fichiers.

1107992366_Capturedecran2019-03-09a16_54_12.png.df32de2930a793fda7893aa7f7b4b837.png

Pas d'adresse email à mettre par contre pour le compte admin vu que j'en ai qu'une seule, pas d'importance ?

Pour ce qui est du reste concernant l'accès externe j'ai fait un poste à part, j'arrive pas à le configurer...

Le reste j'ai suivi à la lettre, pour le certificat pareil j'arrive pas à le faire fonctionner, fin en tout cas Chrome ne reconnaît pas le certificat pourtant quand on regarde dans le détail c'est marqué que celui-ci est valide...

MÀJ OK

TERMINAL OK

Conseiller OK

Pour le portail des applications je reviendrais dessus quand j'aurais résolu mon problème de certificat.

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 59 minutes, Pr0TiPx8 a dit :

Pas d'adresse email à mettre par contre pour le compte admin vu que j'en ai qu'une seule, pas d'importance ?

il est important de mettre lune adresse mail valide, pour pouvoir récupérer ton mdr en cas de soucis

il y a une heure, Pr0TiPx8 a dit :

Pour ce qui est du reste concernant l'accès externe j'ai fait un poste à part, j'arrive pas à le configurer...

peux-tu SVP m'en donner le lien, car je n'ai pas reçu la notification par mail. => merci

Partager ce message


Lien à poster
Partager sur d’autres sites

Qu'entends-tu par "mdr" ? Je peux mettre mon adresse email sur mon compte perso + admin ça ne présente pas de risque ?

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a une heure, Pr0TiPx8 a dit :

pour le certificat pareil j'arrive pas à le faire fonctionne

hors de mes compétences, désolé

il y a 1 minute, Pr0TiPx8 a dit :

Qu'entends-tu par "mdr" ? Je peux mettre mon adresse email sur mon compte perso + admin ça ne présente pas de risque ?

mdr, c'était une faute de frappe, ça aurait du être mdr (mot de passe).

Selon moi c'est sans danger, car uniquement stocker un local sur ton Syno, pas dans le cloud.

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 4 minutes, Jojo (BE) a dit :

il est important de mettre lune adresse mail valide, pour pouvoir récupérer ton mdr en cas de soucis

peux-tu SVP m'en donner le lien, car je n'ai pas reçu la notification par mail. => merci

Alors j'ai finalement trouvé la solution à mon problème, mais voici le lien de mon sujet : 

Pour le certificat je vais continuer à chercher....

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement