This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Fenrir

[TUTO] Sécuriser les accès à son nas

Messages recommandés

Je voulais juste faire une petite remarque concernant la méthode pour prendre en compte le tuto ( et d’ailleurs tous les tutos) : toujours tester si un étape fonctionne correctement avant de passer à la suivante ...

Par exemple, si sans aucun test intermédiaire, on met en place par exemple :

  • Un nom de domaine
  • Des redirections de ports
  • Une redirection HTTP vers HTTPS
  • Un reverse proxy
  • Un firewall

il y a fort peu de chance que cela fonctionne. Et trouver où est l'erreur devient un vrai jeu de piste ...

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 3 minutes, Jeff777 a dit :

Bonjour,

Ce n'est pas plutôt dans le dossier web?

ah oui pardon, j'ai créé dans le dossier web. J'ai corrigé pour éviter la confusion

 

merci

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

Je lis attentivement les supers tutos réalisés. 

Je commence à me pencher sur le reverse proxy et j'ai donc deux questions à ce sujet :

1) Pourquoi est il conseillé d'utiliser un nom de de domaine venant d'un fournisseur autre que Synology ? Si j'ai bien compris Synology propose bien de le faire avec un nom de domaine en synology.me mais cela ne semble pas conseillé.

2) Au niveau sécurité, le reverse proxy est conseillé comparé à l'ouverture simple d'un port via l'ip de ma box. Pourtant, étant chez orange ma box a une IP dynamique.

Pour accéder à mon NAS je suis donc obligé de la connaitre (mais cela est très rapide pour moi même de l'extérieur via l'appli "Ma livebox") puis je précise le "port exotique" que j'ai défini en NAT/PAT pour accéder à DSM.

Ma question sur ce point est simple : mon IP de livebox changeant régulièrement, cela n'est il finalement pas plus sécurisé que d'avoir un nom de domaine qui peut être trouvable et qui permettrait à un hacker de travailler longuement dessus pour tenter de rentrer ? Avec mon IP dynamique, lors de son changement c'est comme si je déménageais sans laisser de trace non ? 

Merci par avance pour vos précisions.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

  1. Pas fiable. Service souvent en rade et au moins, ton nom de domaine est à toi.
  2. Lit mon tuto sur le nom de domaine 😉 Le faite d'avoir une IP d'ynamique ne change absolument rien !
  3. Fonction DDNS fait que tu n'as plus à la connaître...
  4. Aucun rapport avec les changements d'IP. Si un hacker t'a dans son viseur, il aura en permanence ton IP... Ne t'inquiète pas pour ça.

J'ajouterais que les NAS Syno en terme de sécurité sont fiables. On le saurait si il était facile de rentrer dedans !

Pour les rares ici qui rencontrent des soucis de sécurité, on se rend vite compte qu'ils ont soit mal configurés leur NAS, soit le soucis vient d'un ordinateur etc... Et bien souvent, c'est à cause d'une erreur humaine !

Si tu suis les tutos à la lettre, tu ne crains pas grand chose (pour le moment en tout cas).


Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

Cela fait quelques mois que j'ai appliquer le tuto et que je suis en possession du ds218, j'ai suivi le(s) TUTO en tout genre en s’intéressant et en comprenant (le pourquoi du comment).
J'en profite pour remercier FENRIR ainsi que tout ceux qui prennent le temps de faire des bons/Beau Tuto MERCI !!!

- Je suis un particulier qui numérises des docs (fiche de paie, impôt...), j'aimerai avoir votre avis concernant la sécurité des docs si je les mettais sur le NAS.
- Comme j'ai pu voir (le risque zéro n’existe pas).
- J'utilise beaucoup les application Android en extérieur en passant en HTTPS et NDD (synology.me).
 

Infos de ma config :
- FAI -> DS218 -> WIFI-> PC&android (NAs Familial)
- port ouvert au net (FAI) 80 & 443

- Parefeu NAS fermer au monde sauf local & france (pour faire simple)
- HTTPS et let's encrypt (OK)
- VPN (syno ou non) & Reverse Proxy (PAS sentie le besoin)

Ma question est la suivante :

Peut-on s'introduire par le net et consulter, modifier... les docs qui se trouve sur le nas ? Quel chance ais-je que cela se produise ?


Sachant que pour l'instant je sauvegarde manuellement les docs administratif sur un clée USB sandisk avec leur logiciel de chiffrement fournit avec la clée usb, puis rangé dans un placard.


Pour moi cette question est légitime il s'agit de papier privée et en parcourant le net je n'est pas trouver cette réponse encore.

Merci d'avance.


 

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

Les nouveaux membres sont invités à se présenter 🙂

Présentation - NAS-Forum

Citation

Peut-on s'introduire par le net et consulter, modifier... les docs qui se trouve sur le nas ? Quel chance ais-je que cela se produise ?

Pour moi cette question est légitime il s'agit de papier privée et en parcourant le net je n'est pas trouver cette réponse encore. 

Moi j'ai essayé de parcourir le net pendant des mois pour savoir quand ma mort surviendrai mais je n'ai pas non plus trouvé d'informations à ce sujet 🙄

Plus sérieusement, le risque zéro n'existe pas ! Aujourd'hui tu es à l'abri, demain, peut-être pas.

Ça dépend d'énormément de choses. Et oui c'est possible !

Si maintenant, tu ne veux prendre aucun risque et ça peut se comprendre selon l'importance que l'on donne à nos données quel qu’elles soient, alors débranche ton NAS d'internet.

Modifié par Zeus

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

Je bug un peu au niveau de la configuration HTTPS,

J'ai ouvert les ports 5000 et 5001 respectivement en "Web Server (HTTP)" et "Secure Web Server (HTTPS)" dans ma Livebox 4.

Après ça je ne comprend pas très bien quoi faire ?

Merci

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 6 minutes, vnihoul77 a dit :

J'ai ouvert les ports 5000 et 5001

Fermez le 5000 dans le routeur. Inutile d'exposer votre NAS en clair sur internet. Il me semble que c'est expliqué dans le tuto.

il y a 10 minutes, vnihoul77 a dit :

Après ça je ne comprend pas très bien quoi faire ?

On ne sait pas non plus où vous en êtes dans le paramétrage de votre NAS. Difficile dans ce cas de vous aider.

Partager ce message


Lien à poster
Partager sur d’autres sites

Mais si je ferme le port 5000, je serai automatiquement redirigé en HTTPS ? Uniquement pour le DSM ou aussi mes pages Web ?

il y a 2 minutes, Mic13710 a dit :

On ne sait pas non plus où vous en êtes dans le paramétrage de votre NAS. Difficile dans ce cas de vous aider.

Honnêtement, j'ai du mal à me situer aussi ...

J'ai paramétré mes dossiers partagés, une base de donnée lié à mon site, maintenant je cherche à bien rediriger mon nom de domaine vers le NAS 

Partager ce message


Lien à poster
Partager sur d’autres sites

Les pages web, c'est par les 80 (http) et 443 (https) que ça se passe. Les 5000 et 5001 c'est pour DSM.

Comme il est dit (je crois) dans le tuto, avant de penser à ouvrir son NAS vers l'extérieur, on assure d'abord sa sécurisation.

Pour rediriger votre ndd vers votre site web, il faut activer le serveur web du NAS, l'autoriser dans le parefeu, diriger le 443 du routeur vers le NAS et faire un  enregistrement A (ou un DDNS si IP dynamique) pour faire pointer votre ndd vers votre IP publique.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour à la communauté,

Tout d'abord un grand merci pour ces tutos et à tous ceux qui prennent le temps d'y répondre. Nouveau possesseur d'un NAS DS218 Play, je cherche dans un premier temps à le sécuriser au maximum. Je ne pensais pas que ça serait aussi compliqué pour moi, comme beaucoup ici.

Mon Nas me servira uniquement à stocker des films et photos. Je possède une copie dans mon PC.

Désolé, Je vais vous poser des questions bêtes mais malgré plusieurs jours de lecture je ne suis toujours pas sur de moi.

 

1. J'ai activé tout les paramètres de sécurité présent dans ce tuto. J'ai activé et configuré le pare-feu du NAS avec les 4 règles indiquées. Je n'ai ouvert aucun port dans mon routeur Freebox. Première question de newb, A partir du moment ou aucun port du routeur freebox n'est ouvert et redirigé vers le NAS alors celui-ci ne craint rien et il n'est pas accessible de l’extérieur? (En théorie, je sais quand informatique tout est possible)

2. Admettons que mon Nas soit accessible de l’extérieur, le pirate doit il obligatoirement trouver le mot de passe admin pour me balancer un cryptolocker ou est ce plus simple que ça?

3. Si mon Nas est vérolé par un cryptolocker ou autres, mon ordinateur protégé par un pare feu et antivirus est il en grave danger?

4. Quand je me connecte à mon Nas via mon Pc je doit entrer un mot de passe pour accéder aux fichiers en réseau . Pourquoi ma télé est elle capable d'y accéder sans mdp?

5.a. J'ai activé le HTTPS car je ne suis pas familiarisé avec les VPN pour le moment. J'ai donc besoin de certificats. J'ai réussi à en créer un pour "mon-domaine.synology.me" mais comme je ne souhaite pas y accéder de l’extérieur pour le moment ça ne me sert pas vraiment de plus j'ai une IP fixe. Malheureusement, je n'arrive pas à créer de certificat pour une adresse IP. Est ce possible?

5.b. Est ce grave si je me connecte sans certificat depuis mon PC qui est relié à internet? Si j'ai bien compris le tuto, lorsque vous activez le VPN il n'est pas forcement utile d'activer le HTTPS?

6. Vous indiquez qu'il est préférable de désactiver l'IPV6. Cependant, si je le désactive mon Nas n'est plus visible dans mon PC via Ordinateurs -> réseaux? Est ce un bug uniquement chez moi. J'ai une freebox connecté en IPV6 et j'ai le pare-feu IPV6 d'activé...

 

Voila, je vous avez prévenu, c'est vraiment des questions de débutant mais je pense qu'elles vont me permettre de mieux comprendre dans quoi je mets les pieds.

 

Merci beaucoup à ceux qui m’apporteront des réponses

 

 

 

 

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

bonjour,

je viens de suivre les recos de ce sujet fort utile et enrichissant 🙂
j'ai un problème avec les paramétrages du firewall

en fait, chaque mois j'envoie vers mon NAS les sauvegardes de plusieurs site web. avec les paramètres du tuto l'envoi (via FTP) échoue.
si je désactive le firewall ça passe bien.

qu'est-ce que je pourrais modifier pour que ça fonctionne, sachant que les sites ne sont pas tous hébergés sur le même serveur… donc les envoie proviennent d'IP différentes.

est-ce qu'on peut autoriser le transfert FTP entrant ?

merci !

Partager ce message


Lien à poster
Partager sur d’autres sites
à l’instant, anybodesign a dit :

ok merci,
pour le moment j'ai ajouté cette règle là :

image.png.ee95f16972c2575375babf9e29e9b731.png

mais j'imagine que c'est pas très sécurisé…
il vaudrait donc mieux que j'aille noter toutes les IPs des serveurs ? et que je remplace "France" par la liste de ces IPs ?

Cette règle répond à ton 1er besoin.

En terme de sécurisation, oui tu peux faire "mieux" en ciblant les IP

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

Pour une utilisation en local, le NAS est connecté à un swicht, lui même connecté à la box, est t'il nécessaire de configurer le pare feu comme préconisé sur le tuto?

 

Merci.

Modifié par Hitman_11

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 10 minutes, Hitman_11 a dit :

Pour une utilisation en local, le NAS est connecté à un swicht, lui même connecté à la box, est t'il nécessaire de configurer le pare feu comme préconisé sur le tuto?

Nécessaire : Non. Normalement, le pare feu de ton modem doit foire le nécessaire pour éviter les intrusions.

Utile : Potentiellement. Si le pare feu de ton routeur vient a être contourné ou si quelqu'un arrive à se connecter sur ton réseau local d'une manière ou d'une autre (trojan, piratage wifi etc...).

Modifié par niklos0
orthographe... Comme d'hab

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 20 heures, Hitman_11 a dit :

Pour une utilisation en local, le NAS est connecté à un swicht, lui même connecté à la box, est t'il nécessaire de configurer le pare feu comme préconisé sur le tuto?

Dans la plupart des box, le pare feu n'est pas finement paramétrable. Pour vraiment contrôler les flux vers ton syno, il vaut mieux configurer le pare-feu de ce syno... et faire de même pour chacune des machines à protéger.

Ou sinon, avoir un routeur en entrée de ton réseau local et y configurer un pare feu qui protège tout ton réseau local.

@niklos0: Si quelqu'un arrive à se connecter sur ton réseau local (par exemple grâce à un piratage wifi), il fera partie de ton réseau local et pour lui interdire l'accès à ton syno par exemple, il faudra avoir établi des règles strictes sur le pare-feu de ton syno. Pas évident car usuellement, on permet un accès libre aux différents services du syno à l'ensemble du réseau local.
Ça me parait plus simple de bétonner l'accès au réseau local, par exemple en implémentant un filtre par les adresses MAC.

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 7 minutes, dd5992 a dit :

 

@niklos0: Si quelqu'un arrive à se connecter sur ton réseau local (par exemple grâce à un piratage wifi), il fera partie de ton réseau local et pour lui interdire l'accès à ton syno par exemple, il faudra avoir établi des règles strictes sur le pare-feu de ton syno. Pas évident car usuellement, on permet un accès libre aux différents services du syno à l'ensemble du réseau local.
Ça me parait plus simple de bétonner l'accès au réseau local, par exemple en implémentant un filtre par les adresses MAC. 

 

Nous sommes bien d'accord. C'est pour ça que je dis que ce n'est en rien nécessaire que ça peut-être utile dans le cas improbable où quelqu'un entre sur ton réseau local.

Il ne faut pas penser que, parce qu'on a sécurisé son Syno il ne faut sécuriser son réseau et inversement. Il faut, bien entendu ajouter de la sécurité de tous les côtés, avec, comme tu l'as dis, un parefeu, un filtre d'adresse MAC etc... Mais tout sera toujours "piratable". D'où l'idée de mettre plusieurs couches de sécurité.

Tu parles de filtre d'adresse MAC, c'est une très bonne chose et une première étape dans la sécurité. Mais un simple spoofing d'adresse MAC et la sécurité est contournée. Une fois de plus, je ne dis pas qu'il ne faut pas mettre de filtrage d'adresse MAC mais qu'il faut multiplier les verrous tout en essayant au mieux de ne se gêner soit même. Et c'est là que ça se corse... Réussir à trouver le juste milieu entre sécurité/prix/liberté.

Modifié par niklos0

Partager ce message


Lien à poster
Partager sur d’autres sites

Un routeur pare-feu matériel, il en existe pas mal (pfSense, Mikrotik, (DD/Open)WRT, etc...), permet de réellement sécuriser son réseau en son sein (et depuis l'extérieur évidemment), à un autre niveau qu'un routeur Synology ou autre.
Mais ça demande certaines connaissances et pas mal de temps si on n'a pas ces dites connaissances... faudra que je me lance un jour. 😄 

Modifié par shadowking

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement