[TUTO] Sécuriser les accès à son nas - DSM 6.x

[Diabolomagic]

Bonjour Fenrir, merci a toi pour toutes ces réponses,

j'ai depuis hier soir la certitude que ma box ne prend pas en compte les réglages  ! 

Pendant un transfert de fichier la box à attribué une autre adresse IP au NAS malgré le bail permanent qui était censé être appliqué. J'ai essayé de configurer la freebox avec Chrome mais pas mieux, cette fois je vais essayer avec ta technique du CTRL+SHIFT+R.

Si ça ne fonctionne toujours pas, direction les forums internet liés aux freebox ...

En tout cas merci encore de ton aide et toutes mes excuses pour ce grand nombre de questions.

Bonne journée à tous et bon week-end !

[Nicolas8]

Bonjour,

Un grand merci pour ce post. Je le trouve très bien fait et très utile. Encore MERCI pour votre temps et le partage. 

Bonne continuation.

Nicolas.

[fredo69]

Merci beaucoup pour ce tuto.

J'ai appliqué pas mal de choses, mais je bute sur certaines... Je vais y aller pas à pas.

Déjà souvent il faut identifier un domaine pour "activer un domaine personnalisé" ? C'est quoi cette bête? que dois-je indiquer là dedans? Est-ce lié avec mon FAI (free) autre chose?

[Fenrir]

Ce n'est pas obligatoire, si tu ne sais pas ce que c'est c'est, laisse tomber pour le moment, tu verras plus tard

[unPixel]

Bonjour à tous,

J'avais une petite question sécurité en ce qui concerne nos nas et l'utilisation en local et en particulier sur l'enregistrement du mot de passe et login sur le montage des lecteurs en réseau.

Enregistrez-vous vos mot de passe afin de vous connecter automatiquement ou non svp ?!

A la base, c'est ce que j'ai fait sur mes ordinateurs mais je suis en train de me poser sérieusement la question sur la bonne marche à suivre. Je me dis que si par malheur un jour je venais à choper un rançonware (par exemple), ce dernier accèderait sans soucis à tout mon nas (ou du moins mes dossiers accessibles) grâce à cette porte ouverte parce qu'il n'y a pas besoin de se loguer. Alors que si le login et mot de passe ne sont pas enregistrés, il ne pourrait normalement pas accéder au nas par ce moyen et donc ne pas chiffrer les données stockées.

 

Je me trompe ? Comment faites-vous de votre côté ?

Merci par avance

[Einsteinium]

Je fais comme toi, mais je n’ai que le dossier download accessible en écriture, les autres sont en lecture seule.

Maintenant il te reste le backup, les instantanés aussi ;-)

[unPixel]

Je me suis pas encore penché sur les instantanés. Les sauvegardes, j'en fais tous les jours et deux minimum (sur deux dd externes) mais il y a toujours des données qu'on ne sauvegarde pas forcément mais qu'on a pas spécialement envie de perdre.

Films de vacances par exemple

 

Quand tu dis que tu as que des dossiers en lecture (hormis le dossier DL), tu fais comment pour écrire dedans alors ? Car je suppose qu'ils sont aussi uniquement en lecture depuis File Station.

[Einsteinium]

J’y écris pas, juste besoin d’un accès en lecture, et au pire cela transite par le dossier download.

Comme pour mes dock, ils ont un dossier perso (dans le dossier docker) et s’ils ont besoin d’acces en plus, comme Plex, c’est en lecture.

[unPixel]

Ok merci pour la précision ;)

[fredo69]

Bon je vais donc poser ma 2ème question stupide en espérant une réponse qui me fasse mieux avancer.

J'ai tenté de faire le même paramétrage des ports dans le parefeu du nas mais impossible de mettre les IP 255.0.0.0, 255.240.0.0 et 255.255.0.0, dans les plages d'IP source; la case se met en rouge.

Pourquoi?

Que dois-je mettre?

[unPixel]

Tu n'as pas du les mettre comme il faut.

[Fenrir]

Tu n'as pas coché le bonne case surtout.

[fredo69]

OK trouvé. Fallait comprendre que c'était l'option avec les masques de sous-réseau.

Ils ont des progrès à faire chez Synology. A l'heure du plug and play, si tu n'y connais rien, t'es mort. Suis à 2 doigts de dégager ce truc surr LBC.

[pluton212+]

il y a 9 minutes, fredo69 a dit :

OK trouvé. Fallait comprendre que c'était l'option avec les masques de sous-réseau.

Ils ont des progrès à faire chez Synology. A l'heure du plug and play, si tu n'y connais rien, t'es mort. Suis à 2 doigts de dégager ce truc surr LBC.

Ils ont à faire et font des progrès les ingénieurs et informaticiens de Synology.

Heureusement que nous, les utilisateurs, avons la capacité de se remettre en question et à apprendre quant on ne connait pas.

 

[fredo69]

Encore faut-il avoir envie de passer des heures pour apprendre sur le sujet. C'est pas du tout mon trip.

[unPixel]

On a rien sans rien...

Le mieux peut-être, c'est que tu le revendes et que tu t'achètes un simple disque dur externe

[pluton212+]

C'est clair, un DD externe tu branches et ça marche de suite.

[fredo69]

On va pas refaire le monde... Et un HDD externe ne correspond pas à mon besoin ?

[fredo69]

Je tente de bien paramétrer mon parefeu comme suit :

Mais il me répond que cela ne va pas

Qu'est ce que j'ai encore fait comme erreur? Je crois que la règle sur le terminal chiffré ne pose pas de problème puisque qu'elle n'est pas cochée. A priori c'est la dernière règle où je refuse tout qui pose souci. Pourtant vu qu'elle est en dernier, j'imagine qu'elle s'applique après les autorisations précédentes?

 

[unPixel]

Tout à fait pour la dernière règle, elle s'applique en dernière. Par contre, je suppose que tu n'utilises pas de VPN alors pourquoi avoir tout mit ce que Fenrir a mit pour lui ?!

Le plus important dans cette partie du tuto était la partie en local et les ports pour les services utilisés et pas de recopier à l'identique ce qu'il a fait POUR LUI.

 

Tu serais pas en IPV6 par hasard ?

Modifié le 17 décembre 2017 par InfoYANN

[fredo69]

Ben Yann, je n'y connais rien, donc j'ai copié/collé... Et effectivement, je n'utilise pas de VPN.

Cependant, je suis bien en IPV6 car je l'ai activé sur ma Freebox.

 

Du coup, que dois-je supprimer ou modifier sans risque?

Modifié le 17 décembre 2017 par fredo69

[unPixel]

Bon alors (lit tout avant de faire) :

1. En dehors des trois premières règles qui concernent les connexions locales, supprimes les autres qui ne te sont pas utiles pour le moment.

2. Laisse la dernière règle qui interdit tout le reste. Cette règle doit toujours être en dernier donc à chaque fois que tu ajouteras une règle, il faudra replacer cette interdiction en dernier.

3. Désactives l'IPV6 sur la Freebox. C'est bien mais quand on s'y connait et c'est pas ton cas. Ca tourne tout aussi bien en IPV4.

Ensuite, continue le tuto voir reprend le à 0 en sautant la petite partie que tu auras réglé comme ci-dessus. Et pour finir, tu pourras au fur et à mesure ouvrir les ports pour les services dont tu veux avoir accès de l'extérieur de chez toi.

Modifié le 17 décembre 2017 par InfoYANN

[fredo69]

OK Merci.

IP V6 désactivée.

Mais avant de supprimer les règles sur les ports, comme je souhaite accéder à mon NAS avec mon smartphone, il faut que je laisse ouverts les ports liées aux applications des paquets installés me semble t il?

Y'avait pas un topic qui liste tous ces ports? je ne retrouve plus!

[unPixel]

Tu as déjà fini de mettre en place le tuto sécurité ??? Car avant de vouloir jouer avec divers services en ouvrant des portes d'entrée, il serait bon de commencer par le plus important à savoir tout verrouiller et seulement ensuite ouvrir ce qu'on a besoin.

Et si tu veux pas les supprimer, décoche les au moins car là, tu ouvres des ports qui ne te sont pas utiles pour le moment ! Tu n'as même pas installé de serveur VPN ou mis en place un site internet que tous ces ports sont déjà ouverts...

Tu trouveras la liste des ports ici :

https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/General/What_network_ports_are_used_by_Synology_services

[fredo69]

OK, je reste sage et reste en local. Mais la dernière règle foire tout... il est vrai que je n'ai pas encore relancé ma freebox, donc l'IPV6 n'est pas réellement désactivé (si c'est ça qui...).

Merci pour la liste des ports!