This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Fenrir

[TUTO] Sécuriser les accès à son nas

Messages recommandés

Petite correction :

Le 31/10/2019 à 22:51, Varx a dit :

Tu peux supprimer ta règle pour le réseau 192.168.5.0/24. Tu as déjà celle en 192.168.0.0/2416 qui fait le job.

😉

Il y a 10 heures, EVOTk a dit :

Il faut rajouter ceci en Hote Unique ?

Non, il s'agit de réseaux.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir,

je reprends un peu ma config pour être moins dépendant de quickconnect 🙂

Comment peut on interdire l'acces SSH sur le net ? suffit de ne pas faire de NAT dans le routeur ?

Je me connecte depuis mon NomNas.synology.me cependant je n'ai plus acces à DS photo que se soit par DSM ou par application . pouvez vous me dire comment faire ? il faut faire du NAT sur le routeur mais comment trouve t'on le bon port ?

Modifié par dimgod59

Partager ce message


Lien à poster
Partager sur d’autres sites

Oui s'il n'y a pas de nat vers le port Ssh il n'est pas accessible de l'exterieur.

Pour dsphoto il faut mettre en place une règle nat tcp du port 443 vers le port 443 du nas

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir à tous,

Avec mon Nas je rencontre des petits problèmes, je m'explique

Mon Nas est configuré avec des Target / Lun que je connecte sur des serveur Mac, et pour de plus de sécurité le pare-feu est activé avec la redirection sur le routeur.

Mon problème c'est que les Lun monté sur l'ordinateur fonctionne quelques jours et ce déconnecte sans raison particulière mais le problème c'est surtout qu'il m'est impossible de re connecter les Lun avec le pare-feu d'activé, je dois désactiver le Pare-feu quelques minutes afin d'allez sur les postes Serveur afin de re reconnecter manuellement, une fois l'opération effectué, je réactive le pare-feu et je suis tranquille quelques jours ..

Avez vous une idée ? je vous met ci dessous mon réglage de pare-feu sur le Nas

J'ai un total de 3 Lun monté sur 3 ordinateurs différents et tous ce déconnecte

Merci pour vos lumières 

 

 

 

Capture d’écran 2019-11-28 à 21.32.46.png

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

Suite aux divers Tutos suivis sur ce forum au sujet de :
- la sécurisation,
- le Reverse Proxy,
- le VPN,

(merci aux auteurs !)

Je me pose un certain nombre de questions :

Dans un premier temps sur la sécurité et le Reverse Proxy :

Pour accéder au NAS :

  • pour DSM : j'accède en VPN depuis l'extérieur ou en local depuis chez moi pour l'administration.
  • pour Audio Station, Video Station, Calendar, File Station : j'accède via le Reverse Proxy depuis l'extérieur ou en local (mais sans VPN).

    => est-ce que cela un sens de fonctionner comme cela ?
    => est ce acceptable au niveau sécurité ?

Merci d'avance pour le partage de vos avis et expériences.

Erland.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

L’accès à distance ne fonctionne plus.

De retour à la maison j'ai vérifié les config du nas, puis la redirection des ports de la freebox. Je trouve les redirections en rouge avec un triangle orange. La recherche sur internet relate des dysfonctionnement lors de la migration vers une offre fibre, ce n'est pas mon cas. J'ai supprimé la redirection du port 80 et tenté de la re créer, sans succès, je ne peux pas sauvegarder la redirection.

Je précise que il y a eu une intervention de techniciens sur le réseau à l'extérieur de la maison, je ne sais pas dire si le pb en résulte.

Je vous remercie pour votre aide.

 

Capture d’écran (4).png

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour a tous

Et merci Fenrir pour ce tuto que j'ai suivi pas a pas. Je suis encore débutant sur les NAS et j'ai une question sur le certificat que j'ai du mal a installer

- je n'ai pas vraiment besoin d'un acces exterieur a mon NAS donc j'ai mis les regles de pare feu suggerées (autoriser 10.0.0.0, 172.16.0.0, 192.168.0.0 et refuser toutes les autres IP)

- j'ai ouvert le port 80 sur ma box (bouygues), voici l'intitule de ma regle : "La règle "port80" redirige tous les protocoles pour les flux Internet ayant le port 80 de la bbox vers le port 80 du périphérique [adresse de mon NAS]"

- j'utilise un nom de domaine hebergé par Synology (dans "Acces externe / DDNS", j'a rajouté un nom de domaine en [nomdedomaine].synology.me)

- j'ai crée un certificat Let's Encrypt en utilisant le nom de domaine hebergé par synology : [nomdedomaine].synology.me

- quand je me connecte  a mon NAS (sur mon reseau local), mon navigateur (chrome) me dit que mon certificat n'est pas valide et je vois le message "Not secure" devant mon adresse

 

Du coup j'ai plusieurs questions, merci a ceux qui pourront m'aider, je m'excuse si ce sont des questions un peu betes !!

1) vu que mon pare feu n'autorise que mon reseau local, est ce que j'ai vraiment besoin d'un certificat ?

2) quand il est ecrit "le port 80 doit être ouvert", est ce que cela veut dire sur la box et / ou aussi sur le NAS (et si oui ou sur le NAS?!)

3) comment supprimer ce message d'erreur sur le certificat ?

Merci beaucoup

Modifié par andre89

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 04/12/2019 à 21:06, Erland a dit :

Bonjour,

Suite aux divers Tutos suivis sur ce forum au sujet de :
- la sécurisation,
- le Reverse Proxy,
- le VPN,

(merci aux auteurs !)

Je me pose un certain nombre de questions :

Dans un premier temps sur la sécurité et le Reverse Proxy :

Pour accéder au NAS :

  • pour DSM : j'accède en VPN depuis l'extérieur ou en local depuis chez moi pour l'administration.
  • pour Audio Station, Video Station, Calendar, File Station : j'accède via le Reverse Proxy depuis l'extérieur ou en local (mais sans VPN).

    => est-ce que cela un sens de fonctionner comme cela ?
    => est ce acceptable au niveau sécurité ?

Merci d'avance pour le partage de vos avis et expériences.

Erland.

Bonjour Erland,

C'est plus une question de philosophie, il se trouve que je fais la même chose que toi, sauf concernant Filestation que je limite à l'acès VPN.
J'aime pouvoir écouter ma musique depuis l'extérieur sans avoir à me connecter à un VPN, surtout quand ce n'est pas un de mes périphériques (PC du bureau, ordinateur d'un ami, etc...)

Pour moi c'est tout à fait acceptable tant que tu suis les recommandations du tutoriel sur la sécurité de Fenrir.

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci pour ton retour d'expérience,

Effectivement suivant le contenu sur le NAS, il peut être opportun de limiter FileStation au VPN.

Je m'étais effectivement posé la question, mais pour le moment le contenue ne le justifie pas (pour le moment :-)).

Partager ce message


Lien à poster
Partager sur d’autres sites

@andre89, il est d'usage sur ce forum de faire un passage par la section des présentations avant de poster. Certains y sont sensibles.

Un certificat c'est pour un nom de domaine. Si vous vous connectez en local avec l'IP du NAS, le certificat n'est d'aucune utilité, d'où le message.

Pour vos questions :

1. Si vous êtes confiant sur les utilisateurs de votre réseau, vous pouvez passer par le http

2. Si votre parefeu est actif, il faut bien entendu ouvrir le port 80. Si ce n'est que pour le renouvellement du certificat, vous pouvez ne faire que 2 règles sur les IP de Let's Encrypt. Une petite recherche sur le forum vous indiquera lesquelles.

3. Voir ci-dessus, ou passer par le serveur DNS et le reverse proxy et utiliser les adresses avec votre ndd qui sont couvertes par le certificat.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour à tous

Il y a quelques mois, j’ai suivi à la lettre le magnifique Tuto de Fenrir, MAIS j’ai aussi installé le paquet non officiel Domoticz pour Synology. Un beau jour, DSM m’a interdit tout accès, et le support de Syno, après analyse des fichiers logs, m’a affirmé que j’étais victime d’un piratage et que le coupable était la vulnérabilité du package Domoticz.

Je n’ai jamais su si :

A-c’était vrai, et que c’était là la faille qui, malgré la sécurisation des accès distants, avait permis a des hackers d’entrer.

B-c’était faux et que Syno cherchait simplement un bouc émissaire pour se dédouaner.

C-c’était faux et que le Tuto de référence demandait à être complété désormais, car des hackers y avaient trouvé des failles.

De plus, B et C ne sont pas exclusifs l’un de l’autre 🙂

Je pose donc la question : d’après votre expérience personnelle, qu’en est-il ?

1-depuis que vous avez suivi le célèbre Tuto (grâces lui soient rendues), rien à signaler ?

2-avez-vous, vous aussi, eu des mésaventures avec le paquet Domoticz ?

bonne journée et merci à tous, Fenrir en tête évidemment.

Partager ce message


Lien à poster
Partager sur d’autres sites

Question bête 🤓 concernant la limitation des IP autorisées aux françaises dans le pare-feu : les utilisateurs (français) de VPN anonymisant 🕵️‍♀️ qui ont choisi des serveurs basés à l'étranger vont-ils être empêchés d'accéder au NAS entier ? (y compris aux sites web auto hébergés type wordpress ?)

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut,

Ils auront les services bloqué oui si le vpn n'est pas francais en fonction de tes régles de parfeu.

si tu autorisé le port 80, et 443 de n'importe où alors ils auront accès même si le port 22 (pour ssh par exemple) et limité à une utilisation depuis la France.

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 3 minutes, Retz a dit :

Lorsque j'ai voulu effectuer la procédure de sécurité de ce tuto "sécuriser les accès à son NAS" je constate que le profil admin est déjà désactivé tout comme le profil guest. le seul profil (sur les 3) qui est activé en mode "normal" est le profil issu du web assistant car je vois l'identifiant et le mot de passe que j'ai créé pour installer DSM.

Dois je créer un autre profil ? ou modifier le profil "normal" ? 

Bonjour,

C'est un comportement normal, lors d'une installation, ci on tape autre chose que "admin" alors le compte admin est désactivé.

Et l'utilisateur créé est "Administrateur". (Normale n'est pas un profil cela veut dire actif)

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 9 minutes, Retz a dit :

Je ne savais pas que je devais taper "admin" dans le web assistant.

Tu as bien fait.

il y a 7 minutes, Retz a dit :

Lorsque je visualise ce profil "admin" désactivé il semble y avoir un mot de passe par défaut. je suppose que c'est "password" ?

Tu peux modifier le mot de passe de "admin" (uniquement nécessaire si tu utile SSH car c'est le mot de passe de ROOT) tout en le laissant désactivé.

il y a 10 minutes, Retz a dit :

Appliquer le tuto de sécurisation en créant le profil "monadmin" et en supprimant le profil initié dans le web assistant ?

Tu peux modifier le nom.

Pour info il faut au moins un administrateur.

Partager ce message


Lien à poster
Partager sur d’autres sites
Le NAS peut être réinitialisé par réactivation du profil "admin" en appuyant sur le bouton "reset" à l'arrière du coffret. Si je laisse le mot de passe par défaut du profil "admin" la personne qui fait ce reset peut accéder au NAS ? 
peut on verrouiller le bios d'un NAS ?  


Oui le compte admin est restauré par défaut et il est réactivé.
Non on ne peut pas verrouiller le bios.

Par contre il est possible de chiffrer des dossiers partagés, en cas de reset, ceux-ci ne seront pas monté automatiquement et il faudra la clé de cryptage pour y accéder.


Envoyé de mon iPad en utilisant Tapatalk

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 45 minutes, Retz a dit :

J'ai trouvé une option qui permet de conserver le mot de passe personnalisé du profil "admin" même en effectuant un reset

Option qui ne concerne que le simple reset.

Mais qui doit être inefficace pour un double reset, qui réinstalle DSM. Les données seront alors accessible. (Peut être que je fais erreur?)

https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/General_Setup/How_to_reset_my_Synology_NAS#t3

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut,

Je comprend pas bien. Il est normal d'avoir encore accès au donnés. Si tu ne veut pas que cela soit possible il te faut chiffrer les données sur le disques !

Empêcher le reset ne permet que d'empecher quelqu'un de RAZ physique pour accéder a l'interface facilement. Mais dans tout les cas, cela ne l’empêche pas de supprimer DSM, et de le réinstaller pour avoir accès aux données sur les DD. Tout comme si tu sort les DD du NAS est que tu les branche sur une distribution Linux, tu peux les lire !

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 12 heures, Retz a dit :

suis je mieux préservé des interventions de Free ? La même question se pose en cas de changement de fournisseur FAI ?

Salut,

Passer ta box en bridge avec un routeur ne changera rien aux intervention de Free. Si sa coupe, sa coupe ...

Par contre, les routeurs haut de gamme du commerce permettent beaucoup plus d'action que nos box. Surtout au niveau sécurité, serveur/client VPN, filtrage de ipv4/ipv6, controle du trafic, .. Et en cas de changement de box, l'absence de box n'empechera pas ton reseau local de fonctionner et il y a juste a repasser la nouvelle box en bridge, pour que ton reseau est de nouveau acces a internet !

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.