Sécurisation nas freebox

[tortue du numérique]

Bonjour à tous, 

Ceci est mon premier billet, car j'ai acheté il y a quelques semaines mon premier nas, un DS216+, et j'ai parcouru le forum dans tous les sens pour installer les paquets et paramétrer le nas (merci de tous vos conseils !)

J'en ai pour l'instant un usage plutôt basique : surveillance, audio, photos, vidéos et hébergement d'un site de recettes de cuisine pour usage familial (via le paquet Wordpress et WedDAV server).

J'ai configuré un certificat Let's encrypt pour l'accès externe et toutes les apps fonctionnent en https avec vérification du certificat.

Mais à force, je suis un peu perdu dans la configuration des ports du nas et de la freebox et je me pose quelques questions : 

Il y a 2 pare-feu à gérer, celui du nas et celui de la freebox.

Actuellement, je gère les règles du nas via Panneau de configuration > Sécurité > Pare-feu,
celles de la freebox via Panneau de configuration > Accès externe > Configuration du routeur.

Dans le pare-feu du nas, j'ai des règles dans "toutes les intefaces" et d'autres dans "Lan".
Suite à l'installation des différents paquets, le pare-feu a créé des règles dans "toutes les interfaces", configurées en Ip source:France et action "Autoriser" : 

- Proxy server (installé mais non configuré)

- Interface de gestions et apps

- Web station, serveur NTP, serveur de fichiers windows ect...

- WebDav server

- Calendar

Avec l'option "si aucune règle n'est remplie" : refuser l'accès

Dans la freebox, les modifications du routeur via le nas sont répercutées dans l'onglet Réseau local / UPnp IGD de la manière suivante : 

Modification importante : j'ai supprimé les exemples de redirections que j'avais noté car il ne faut pas utiliser la fonction Configurer mon routeur sur le NAS et il faut désactiver UPNP IGD dans la freebox

QUESTIONS :

Oui je sais, je n'ai pas encore changé les ports d'origine du nas, mais quand j'ai essayé je galérais pour me connecter... je dois voir ça dans les prochaines semaines grâce à vous :)

- Quels ports dois-je ouvrir / fermer pour sécuriser l'accès distant sur l'interface de gestion Freebox, dans Connexion Internet > Gestion des ports ?

- Faut-il ajouter un bail statique à chaque appareil de mon réseau ?
Si oui, comment refuser les appareils non répertoriés ?

- quand je me connecte en wifi en local, le chargement est plus long qu'à l'origine de l'installation. Par exemple, les couvertures de CD ne se chargent pas rapidement et partiellement. la faute à une mauvaise configuration réseau ?

J'espère avoir été clair et suffisamment concis pour que vous me lisiez jusqu'au bout :) 

 

Modifié le 25 janvier 2017 par tortue du numérique
confidentialité et recommandation

[tortue du numérique]

Le 25/08/2015 à 14:40, Einsteinium a dit :

Oui enfin le blocage par IP, c'est bien pour une IP fixe, mais genre en 3G si mobilité c'est mort quand même.

sinon dire que tu change le port, maintenant il y a des bots qui passe leurs temps à scan les IP et leurs ports ouverts, puis test ceux ci... Donc oui c'est bien, mais pas une vrai protection.

dire que tu désactive le compte admin.. Là encore, quand il y a eu la faille synolocker... C'était le DSM qui était la porte d'entrée, avoir le port 5000/5001 suffisait pour être pris, il y a déjà eu des failles de ce type pour le ssh aussi...on peut dire que dans ce type de cas le blocage d'ip pour échec de connections est accessoirement inutile

bref de quoi être bien parano pour ses données  personnelles ^^

Moi vue les données personnelles que je stock, je laisse le synology accessible que par vpn (un compte spécial pour) et j'ai une alerte à la moindre connections sur celui ci via une petite manipulation (car synology le permet pas encore)

Quand je déciderais de faire une plus grande ouverture, je prendrais un synology une baie qui sera isolé du reste du réseaux local pour ma part.

Cette solution m'attire mais avez-vous un tuto détaillé pour la mettre en place ? Est-elle compatible avec les apps mobiles ?

[Mic13710]

2 tutos très importants, à lire absolument et à mettre en pratique :

Sécuriser son NAS

Serveur VPN

[Einsteinium]

Voilà mic a tout dit ;-)

 

[Fenrir]

Ces tuto ont au moins le mérite de permettre de faire des réponses rapides

[Einsteinium]

J'avoue, entre ça et la base de connaissance... on devrait avoir un questionnaire lors du dépôt d'un message , qui intelligemment proposerai les résultats de la base, de recherche et des tuto... on ferait beaucoup moins de redondance sur les sujets qui reviennent toujours.

[tortue du numérique]

Merci pour les tutos et désolé pour la redondance :)

Je bouquine tout ça et revient vers vous si j'ai des difficultés à mettre en application.

 

[tortue du numérique]

aïe ! 1 bêtise déjà... j'ai cliqué sur configuration du routeur pour me simplifier la vie comme dis Fenrir... j'aurais dû lire le tuto plus tôt ^^

Dans ce cas, que doit-on faire ?

Supprimer les redirections de port et les re-créer directement dans la freebox ? (sachant que je pense mettre en place le VPN)

Modifié le 23 janvier 2017 par tortue du numérique
complément d'information

[Fenrir]

il y a 20 minutes, tortue du numérique a dit :

Supprimer les redirections de port et les re-créer directement dans la freebox ?

oui

[tortue du numérique]

ok merci Fenrir ! Ton tuto est très bien écrit, c'est un plaisir de le lire et de l'appliquer :) Toute l'info à 1 endroit, enfin !

[tortue du numérique]

Concernant la freebox, quels configuration recommandez-vous ?

Si j'ai bien compris, sur l'interface freebox, je dois passer ce qui est dans Réseau local > Upnp IGD vers Connexion internet > Gestion des ports > Redirection de ports

Puis effacer les toutes les redirections dans Réseau local > Upnp IGD et dans le NAS (onglet configuration routeur).

Mais késako pour le deuxième onglet, celui des connexions entrantes sur la freebox ?

J'ai 4 ports ouverts : 2 pour le client bitorrent et 2 pour l'accès distant à la freebox.

Dois-je en ouvrir/fermer d'autres ?

[Fenrir]

Je n'ai pas de freebox récente, donc je ne sais pas comment est l'interface, mais de manière générale :

1. désactivation de l'upnp
2. suppression de toutes les règles de "forward" de port
3. création des règles nécessaires et uniquement celles-ci

[tortue du numérique]

ok merci !

[tortue du numérique]

Bon, j'ai fait le tour du premier tuto :)

J'ai réussi à appliquer 80% des recommandations de Fenrir mais j'ai encore quelques zones d'ombre (en orange ci-dessous).

Merci d'avance à ceux qui prendront le temps de lire et de répondre à mes quelques questions :)

 

Récapitulatif des modifications suite à la lecture du Tuto de Fenrir : 

Pour être certain de n'avoir rien raté (le tuto est très complet), je vous mets la check-list que je me suis faite :) 

Horloge :

Choix d’un serveur horaire fiable : pool.ntp.org

Activation de la fonction NTP pour que les autres appareils se servent du NAS comme horloge.

Service de fichiers :

Désactivation des services inutilisés (FTP, NFS, TFTP, MAC) -> faut-il activer certains services pour les apps Synology ?

Activation de SMB 3 pour chiffrement de la communication avec windows en AES

Désactivation du verrouillage opportuniste

Activation du module VFS MSDFS

Utilisateur :

Création du SuperAdmin : pour administrer une application, se connecter avec cet administrateur, lui donner les droits, faire le réglage et retirer les droits.

Activation de la vérification en 2 étapes

Création des comptes utilisateurs

Quickconnect

Désactivé

Accès externe

DDNS : inutile si IP fixe comme chez freebox

Configuration du routeur : "Ne cliquez pas ici, ça fait partie des options que Synology devrait vraiment retirer de ses boitiers. C'est très dangereux du point de vue sécurité."
Les redirections de port se configurent dans l'interface Freebox > Gestion de ports > Redirections.

Désactivation de l'UPnP IGD sur le routeur "sinon tous les équipements de votre réseau pourront faire de l'ouverture dynamique de port, le PC qui vient de se prendre un virus pourra automatiquement, sans la moindre notification, ouvrir un port permettant à un attaquant d'entrer dans votre réseau" 

Configuration du nom d'hôte ou l'ip statique dans l'onglet accès externe > avancé pour permettre l'ouverture de fichiers à distance (lien de partage par exemple)
-> J'ai mis mon.domaine.synology.me, c'est bon ?

Réseau

Interface réseau > LAN :

Du point de vue confort, fiabilité et sécurité, l'attribution dynamique (DHCP) est recommandée, néanmoins, certains services nécessitent d'avoir une adresse IP fixe.
"Si vous choisissez DHCP, fixez l'adresse dans votre serveur DHCP (votre box probablement), si vous choisissez l'IP en dur, prenez une IP en dehors de la plage DHCP"
-> j'ai activé DHCP dans cet onglet sur le nas et j'ai attribué une adresse fixe pour le nas sur le routeur. c'est bon ?

Désactivation de l'IPv6

Paramètres de DSM

Garder les ports par défaut (Si vraiment vous souhaitez les changer depuis Internet, faites-le sur votre box ou avec un "reverse proxy").
ça tombe bien je ne les avais pas changé :)

Ne pas rediriger automatiquement les connexions HTTP vers HTTPS si on expose pas DSM directement sur Internet (il y a un serveur VPN pour ça), dans le cas contraire, activez la redirection. 
-> Je souhaite pouvoir utiliser les apps DSM à distance... est-ce l'exposer directement sur Internet ?
Dans ce cas, je dois rediriger automatiquement en https et cochez l'option dans mes apps avant connexion ?

Pour la dernière option, l'HSTS, ne l'activez que si vous n'accédez jamais à votre NAS autrement qu'en HTTPS (c'est votre navigateur qui enregistrera cette information et il ne vous laissera plus passer autrement qu'en HTTPS, même si ce dernier est coupé).
-> si redirection HTTP en HTTPS activée, activer également HSTS, c'est bien ça ? 

Sécurité

Améliorer la protection contre les falsifications de requêtes inter-site

Améliorer la sécurité et grâce à l'en-tête HTTP Content Security Policy (CSP)

Ne pas permettre que DSM soit incorporé dans Iframe

Effacer toutes les sessions de connexion de l'utilisateur sauvegardé au redémarrage du système

 

Pare-feu (toutes les interfaces)

 

Tous ports, tous protocoles pour :

• 10.0.0.0/255.0.0.0  : trafic du tunnel VPN
• 172.16.0.0/255.240.0.0  -> quel est ce trafic autorisé ?
• 192.168.0.0/255.255.0.0  : trafic du réseau local freebox

 

En plus des réseaux locaux (ou privés), j'autorise les services suivants :

• ports TCP 80 et 443 depuis l'adresse 192.0.2.3 ? -> c'est quoi cette adresse ? Pour le moment, réglé sur France
• port UDP 1194 (OpenVPN) uniquement depuis la France

 

Si votre NAS est derrière une Box, il faudra aussi transférer (forward) les ports sur cette dernière
-> c’est-à-dire ? il faut ajouter les redirections ci-dessus dans la freebox ?

Une recommandation, n'autorisez pas l'accès en direct à DSM (ports TCP 5000 et 5001 par défaut) depuis Internet mais servez vous du portail des applications (cf plus bas) pour limiter les accès aux seules applications nécessaires. Si vous devez administrer votre NAS depuis Internet, l'utilisation du Serveur VPN est vivement conseillée.
-> donc il ne faut pas rediriger les ports 5000 et 5001 en TCP dans la freebox. Mais faut-il le faire en UDP ? je ne comprends pas trop la différence

Protection

Activation de la protection DoS

Certificat

Installation d'un certificat Let's encrypt grâce à mon.domaine.synology.me

Désinstallation du certificat d'origine

Avancé

N'activez jamais la compression HTTP (il y a une faille de sécurité dans ce protocole qui rend l'HTTPS inefficace) et utilisez les suites de chiffrement "moderne".

Notifications

Activation des notifications mails et/ou SMS et/ou push

Mise à jour et restauration

Télécharger les maj mais me laisser choisir de les installer tout seul.

Désactivation des maj auto dans le centre de paquet

Privilèges (Permet de limiter les accès à certains utilisateurs ou groupes - ok)

Portail des applications

-> là je patine complètement !! Je souhaite pouvoir utiliser les apps de base à distance (dsaudio, dsphoto, dsvideo, dscam, ds note, ds cloud).

En suivant l'exemple de Fenrir, j'ai essayé de configurer DSaudio mais ça ne fonctionne pas pour moi...

J'ai activé les ports personnalisés HTTP et HTTPS pour l'application DS audio.
J'ai autorisé ces 2 ports dans le pare-feu de DSM

Depuis Safari en 3G :
si j'essaye https://mon.ip.publique:port choisi https -> ça rame, puis, safari n'a pas pu ouvrir la page car le serveur ne répondait plus
si j'essaye http://mon.ip.publique:port choisi http -> ça rame, puis, safari n'a pas pu ouvrir la page car le serveur ne répondait plus
si j'essaye https://mon.domaine.synology.me:port choisi https -> ça rame, puis, safari n'a pas pu ouvrir la page car le serveur ne répondait plus
si j'essaye http://mon.domaine.synology.me:port choisi http -> ça rame, puis, safari n'a pas pu ouvrir la page car le serveur ne répondait plus

Depuis DS audio : 
si j'essaye mon.domaine.synology.me:port choisi https avec option https et vérification du certificat -> pas de connexion
si j'essaye mon.domaine.synology.me:port choisi http sans option hhtps et sans vérification du certificat -> pas de connexion

Fenrir précise que la seconde partie de l'exemple n'est réalisable qu'avec du loopback ou si on a un DNS en interne ou qui gère les vues, il en parle à la fin du tuto VPN)
Le tuto VPN est plus technique... Je crois avoir correctement configuré OpenVPN mais je n'en suis pas certain.

Du coup, comme ça ne fonctionne déjà pas pour l'accès distant avec ma configuration, je n'ai pas essayé la seconde partie pour le proxy inversé. 

extrait du tuto : J'ai ensuite configuré le Proxy inversé pour faire correspondre les différentes applications avec des noms de domaine différents mais sur un seul port (tcp 443/https). J'ai aussi créé une entrée pour une application non Synology (il s'agit ici d'un Docker) :

=> depuis DSAudio, j'entre l'adresse dsaudio.mon.domaine:443

Nb : dans les applications mobiles, il ne faut pas oublier le numéro de port dans l'adresse pour que ça fonctionne de partout (en interne comme depuis Internet), sinon certaines d'entre elles essayent systématiquement de trouver une configuration QuickConnect (qui n'existe pas chez moi)

Terminal et SNMP

Activation du SSH avec mode de chiffrement le plus élevé, c'est souvent la seule manière de débloquer la situation sans devoir faire un reset du NAS

Conseiller de sécurité

Tous les tests sauf changement port HTTP, HTTPS et SSH sont OK

[Fenrir]

il y a une heure, tortue du numérique a dit :

Désactivation des services inutilisés (FTP, NFS, TFTP, MAC) -> faut-il activer certains services pour les apps Synology ?

Pas les paquets officiels, en général si un paquet a besoin d'un truc, il le dit lors de l’installation.

il y a une heure, tortue du numérique a dit :

-> si redirection HTTP en HTTPS activée, activer également HSTS, c'est bien ça ? 

Oui et non, tu peux faire de la redirection HTTP vers HTTPS sans HSTS, mais si tu mets HSTS le navigateur fera de toute manière la redirection, par contre il n'utilisera pas forcement le bon port. => Si tu actives HSTS, active la redirection.

il y a une heure, tortue du numérique a dit :

172.16.0.0/255.240.0.0  -> quel est ce trafic autorisé ?

Les 3 réseaux que j'ai indiqué sont des réseaux privées, ils ne peuvent pas venir d'Internet, c'est comme le 192.168.xxx.xxx, mais avec plus d'adresses (pour les réseaux locaux d'entreprise par exemple).

Il y a 1 heure, tortue du numérique a dit :

ports TCP 80 et 443 depuis l'adresse 192.0.2.3 ? -> c'est quoi cette adresse ? Pour le moment, réglé sur France

C'est juste un exemple, cette adresse en particulier n'existe pas non plus sur Internet, elle sert aux documentations.

Il y a 1 heure, tortue du numérique a dit :

-> c’est-à-dire ? il faut ajouter les redirections ci-dessus dans la freebox ?

Seulement celles dont tu as besoin (par exemple le port UDP 1194 si tu veux utiliser OpenVPN)

Il y a 1 heure, tortue du numérique a dit :

-> donc il ne faut pas rediriger les ports 5000 et 5001 en TCP dans la freebox. Mais faut-il le faire en UDP ? je ne comprends pas trop la différence

UDP et TCP sont 2 protocoles, http par exemple utilise le port TCP 80, ntp utilise le port UDP 123, ... => il ne sert à rien d'ouvrir le port 80 en UDP pour un site web.

Il y a 1 heure, tortue du numérique a dit :

-> là je patine complètement !! Je souhaite pouvoir utiliser les apps de base à distance (dsaudio, dsphoto, dsvideo, dscam, ds note, ds cloud).

Cette partie répond à certaines de tes questions, mais c'est peut être encore un peu trop compliqué pour toi.

Commence par bien faire marcher le NAS en interne, puis essaye de rendre WebStation accessible depuis Internet avec ton nom de domaine en HTTPS (donc avec un certificat).

Une fois que tout ceci sera ok, tu pourras d'occuper de donner accès à certaines applications depuis Internet en utilisant des ports personnalisés puis plus tard, en utilisant des noms de domaines et le reverse proxy.

[tortue du numérique]

Merci de tes réponses Fenrir. Je peaufine ça dans la journée.

Avec les paramètres actuels : 

En interne, aucun souci, le nas est accessible par PC et les apps fonctionnent toutes très bien.

A distance, j'arrive à me connecter en https à mon.domaine.synology.me pour consulter le site wordpress que j'ai installé sur le nas, mais impossible d'utiliser DSaudio.

Modifié le 26 janvier 2017 par tortue du numérique
erreur de frappe