[TUTO] Sécuriser les accès à son nas - DSM 6.x

[Mic13710]

il y a 1 minute, oracle7 a dit :

comment interdire l'usage du protocole SSH sur ton réseau local

Non, cpc44 demande que le SSH ne soit accessible que de son réseau local

[oracle7]

@Mic13710

Je viens de m'en apercevoir et ai édité ma réponse en conséquence.

Cordialement

oracle7 😉

[Mic13710]

Pas grave, j'avais compris qu'une lecture trop rapide était la cause de l'erreur. Il m'arrive aussi de survoler les posts et je rate parfois le petit mot qui change toute la phrase 😉.

[cpc44]

@oracle7 Pas grave ça arrive à tout le monde de lire trop vite 😉

[cpc44]

bonsoir,

Par inadvertance J'ai supprimé le certificat synology est-ce grave?

 

 

[Mic13710]

Si vous ne vous en servez pas, non. Et si vous avez besoin d'un certificat autre que celui de votre ndd, rien ne vous empêche d'en créer un auto signé.

[cpc44]

il y a 4 minutes, Mic13710 a dit :

Si vous ne vous en servez pas, non. Et si vous avez besoin d'un certificat autre que celui de votre ndd, rien ne vous empêche d'en créer un auto signé.

ok merci

[TuringFan]

Il y a 4 heures, cpc44 a dit :

bonjour  @TuringFan

ci-dessous les règles de mon pare-feu. je pose la question car quand j'ai activité le port 22, j'ai eu un alerte en faisant une analyse avec le conseiller de sécurité.

@cpc44 je n'ai clairement pas les compétences pour me prononcer sur l’interprétation de l'alerte de sécu mais je sais que Fenrir mentionne ce point dans son tuto.

Le 01/12/2016 à 19:33, Fenrir a dit :

Néanmoins je ne suis pas d'accord avec 3 des recommandations de Synology, celles concernant les changements de ports, donc je les désactive (tout le reste devrait être activé) :

• 
• 
• 

Lancez l'analyse une première fois, si vous avez suivi mes recommandations, tout devrait être au vert.

 

[PiwiLAbruti]

Sur ta capture d'écran, la première règle de pare-feu indique que le protocole SSH est accessible à n’importe qui.

Soit tu édites la règle pour retirer le Service de terminal chiffré, soit tu désactives (ou même supprimes) la règle si le Service de terminal chiffré est le seul coché dans la règle.

[Nouch]

Bonjour à tous,

J'ai suivi ce tuto afin de sécuriser au mieux l'accès à mon nouveau NAS mais même si j'ai bien compris le principe des règles du Pare-feu, je ne vois pas d'ou vient mon problème.

J'ai installé ruTorrent via Docker mais lorsque je sélectionne la dernière règle qui bloque toutes les connexions, ruTorrent ne fonctionne plus.

Par contre dès que je désélectionne cette règle, ruTorrent repasse au vert.

D'ailleurs j'ai indiqué dans Docker que le port était 4555 alors pourquoi dans ruTorrent au niveau de la connexion, il est indiqué 51413 ?

 

Si quelqu'un pouvait me donner un petit coup de main 😉

Modifié le 1 mai 2020 par Nouch

[Invité]

Salut,

Les deux ports renseigné ici sont les ports du conteneur qui servent a l'interface rutorrent.

Le port 51413 sert a la connexion entre peers. Il te faut l'ouvrir dans le pare-feu également, le protocole du port 51413 est UDP et non TCP.

[Nouch]

@EVOTk

Merci pour la réponse, j'ai donc ajouté cette règle dans le pare-feu mais le problème reste le même, dès que j'active la dernière règle, j'ai l'erreur suivante :

51413 : statut du port inconnu

[cpc44]

bonjour,

j'aimerai savoir comment faire pour que l’accès à DSM se fasse par le port 443 au lieu du port 5001 ?

Faut-il pour ça modifier les ports par défauts ou existe-t-il une autre solution ?

 

Merci d'avance

[oracle7]

@cpc44

Bonjour,

Il n'est pas recommandé de modifié les ports natifs de DSM (même si rien ne l'interdit). Voir le tuto sur la sécurisation des accès au NAS.

Si c'est pour sécuriser l'accès externe à DSM, il est alors préférable de passer par un nom de domaine (nas.ndd.tld) et de configurer le reverse proxy pour passer du port 443 (nas.ndd.tld:443) vers le port natif 5000 (localhost:5000) de DSM.

Il y a sur ce forum des tutos pour tout configurer cela. Lis-les bien et appliques-les et cela répondra à ta question initiale.

Cordialement

oracle7😉

[cpc44]

@oracle7

Je viens de le faire ça marche nickel 😉

Merci

[oracle7]

@cpc44

Super !!! Content pour toi.

Cordialement

oracle7😉

[Christine Le Cam]

Merci pour ce super boulot, un tuto très facile à suivre et comprendre et surtout très utile.. J'ai beaucoup appris, toute débutante que je suis 👍

[CyberFr]

Un grand merci pour ce tuto complet sur la sécurité 😉

Je crois avoir tout compris sauf les réglages du pare-feu que j'ai recopiés sans trop me poser de questions et en priant pour que le NAS redémarre sans générer de conflits.

[.Shad.]

@CyberFr On autorise la communication sur tous les ports dans un réseau local. Les adresses qui sont reprises (10.x.x.x, 192.168.x.x, 172.16.x.x) sont des sous-réseaux réservés à l'utilisation privée, donc par définition elles n'existent pas sur Internet, c'est ce que tu trouveras dans tous les réseaux internes (derrière un routeur, pare-feu, modem, etc... ), particuliers ou entreprises.

C'est la RFC1918 qui définit cela (comme une norme DIN ou ISO par exemple).

On part du postulat que le réseau local est sûr, et qu'on n'a pas besoin de s'en protéger, ça part du principe que :
- on soit prudent sur l'utilisation des autres périphériques locaux.
- on soit plus prudent que ça en entreprise.

Pour un utilisateur un peu au fait d'un comportement responsable sur Internet et des bonnes pratiques à adopter, ces règles facilitent grandement la vie et ne représentent qu'un très faible danger, surtout si on applique toutes les règles édictées dans ce tutoriel.

Séquentiellement dans ton pare-feu, tu vas donc définir des règles, qui vont analyser chaque requête entrante. Tant que la requête ne correspond pas à une règle, elle continue de descendre dans la liste.
Si aucune règle ne correspond à la requête, par précaution, on la bloque avec la règle "tous" "tous" "refuser". On est sûrs ainsi que rien qu'on ait explicitement autorisé ne puisse accéder au NAS. A toi après d'ajouter les règles pour utiliser tes services à distance par exemple. Par défaut ce tutoriel incite à utiliser le VPN, ce qui est une bonne chose, en revanche si tu souhaites accéder à ton NAS depuis le travail, la plupart du temps il n'est pas possible d'installer un client VPN sur ton poste de travail, et dans ce cas-là il te faudra exposer ce service sur le web, la plupart des règles énumérées ici permettent entre autres de donner un maximum de sécurité à cette connexion externe (Blocage sur tentative de brute force, possibilité de géobloquer les connexions entrantes, etc...)

J'espère t'avoir un minimum éclairer, mais tu verras avec un peu d'habitude ça vient vite 🙂 

Modifié le 8 mai 2020 par .Shad.

[CyberFr]

Merci beaucoup pour cette réponse .Shad.

[flo0462]

Le 08/05/2020 à 21:16, .Shad. a dit :

Séquentiellement dans ton pare-feu, tu vas donc définir des règles, qui vont analyser chaque requête entrante. Tant que la requête ne correspond pas à une règle, elle continue de descendre dans la liste.
Si aucune règle ne correspond à la requête, par précaution, on la bloque avec la règle "tous" "tous" "refuser". On est sûrs ainsi que rien qu'on ait explicitement autorisé ne puisse accéder au NAS. A toi après d'ajouter les règles pour utiliser tes services à distance par exemple. 

 

Bonjour Shad,

Peut tu me confirmé que pour l'utilisation des application DS Audio et DS vidéo sur téléphone mobile on n'a pas le choix que de laisser ouvert le port 5001 par defaut de DSM ?

 

Merci de ton aide

[PiwiLAbruti]

Pour utiliser les applications mobiles depuis l'extérieur du réseau local, il est fortement recommandé d’utiliser le reverse proxy (voir le tutoriel dans la section dédiée) pour ne surtout pas exposer le port 5001 sur internet.

Une fois le reverse proxy configuré, il faudra indiquer explicitement le port 443 dans les applications mobiles (nas.domain.tld:443).

[flo0462]

Il y a 5 heures, PiwiLAbruti a dit :

Pour utiliser les applications mobiles depuis l'extérieur du réseau local, il est fortement recommandé d’utiliser le reverse proxy (voir le tutoriel dans la section dédiée) pour ne surtout pas exposer le port 5001 sur internet.

Une fois le reverse proxy configuré, il faudra indiquer explicitement le port 443 dans les applications mobiles (nas.domain.tld:443).

Merci pour l'info,  je vient de réaliser la config tout est ok

[Outimeme]

Bonjour,

Tout d'abord merci infiniment pour ce super tuto qui aide beaucoup les débutants comme moi. J'ai déjà mis en application pas mal de choses cités ici mais une me pose problème : la redirection HTTPS. Il faut passer par Let's encrypt pour avoir un certificat mais on parle de nom de domaine (à acheter/louer sur ovh ou gandi). Cela amène deux questions :

_ Si je veux sécuriser ma connexion depuis mon pc vers le NAS, le certificat let's encrypt set-il à quelque chose ou alors, dans ce cas, le mieux est la double authentification ?

_ Ce certificat pour obtenir le fameux HTTPS, va t-il me permettre d’accéder à DSM depuis l'extérieur (sans passer par quickconnect car j'ai vu quelque part que ce n'est pas recommandé) ou alors il est juste fait pour un quelconque site internet que j'hébergerais sur le NAS ? Existe t'il quelque chose de gratuit pour avoir ce nom de domaine ?

Merci beaucoup par avance pour vos réponses.

 

[oracle7]

@Outimeme

Bonjour,

1. Il est d'usage pour les nouveau membre de passer par la case Pésentation dans la rubrique adéquate, certains ici y sont sensibles. Rassures-toi il n'est pas trop tard pour bien faire ...
2. Pour ce qui de ton  problème :

il y a une heure, Outimeme a dit :

le certificat let's encrypt set-il à quelque chose ou alors, dans ce cas, le mieux est la double authentification ?

Ne mélangeons pas les choses.

- Le certificat LE te permet notamment d'éviter de recevoir des avertissements de connexion non sécurisée.
- La double authentification, sécurise elle, l'accès à ton NAS lors de la connexion à celui-ci. C'est juste un plus dans la sécurisation des accès au NAS.

il y a une heure, Outimeme a dit :

Ce certificat pour obtenir le fameux HTTPS, va t-il me permettre d’accéder à DSM depuis l'extérieur (sans passer par quickconnect car j'ai vu quelque part que ce n'est pas recommandé)

Pour accéder de l'extérieur sans utiliser Quickconnect (passoire de sécurité), il est fortement recommandé (c'est toi qui vois !) d'utiliser ton propre nom de domaine que tu peux obtenir pour environ 10€ d'abonnement par an chez OVH (c'est pas la mer à boire ...). Ensuite quand tu as ce nom de domaine "ndd.tld" personnel, tu peux créer un certificat LE pour ce ndd.tld et l'installer sur ton NAS et les autres périphériques que tu utilises pour te connecter au NAS depuis l'extérieur (smartphone, iPhone, etc ...).

Relis bien tout de même le présent Tuto, pour bien appréhender tous les tenants et aboutissants.

Cordialement

oracle7😉

Modifié le 17 mai 2020 par oracle7