Certificat Let's Encrypt / Domaine non valide !! ?

[TabasKo]

Bonjour,

 

Alors voilà, c'est un peu la loose pour réussir à mettre en place le certificat SSL Let's Encrypt sur le Synology 😞

 

QuickConnect : désactivé.
Pare-Feu Synology : désactivé.

Accès externe : DDNS configuré

Livebox port 80 ouvert (y -a-til un truc à faire avec le port 443 ??)

Accès LAN : OK

Accès WAN : testé OK (j'ai forcé la connexion en 4g)

Réseau > Paramètre DMS > HTTPS : désactivé.
Par ailleurs, si j'active https, et que localement j'essaye d'aller sur mon https://nas.xxxxx.com après l'alerte de sécurité, j'ai rien (genre : ERR_EMPTY_RESPONSE). Lors de se test j'active bien l'https depuis le synology (et aussi testé en ajoutant un portfowarding sur la livebox 5001>80 sur IP NAS.

Et encore et toujours : 

[PiwiLAbruti]

Il faut autoriser l’accès au port tcp/80 pour que le certificat fonctionne.

 

[TabasKo]

Merci de me venir en aide car je tourne vraiment en rond.

Vous pensez que ce que j'ai fais est différent ? 

Pour moi mon port 80 est bien ouvert (et d'ailleurs, j'accède bien de l'extérieur au DSM depuis l'adresse en http avec mon sous domaine (pour moi cela valide que le port 80 est bien ouvert)

 

 

Livebox port 80 ouvert

[goerges]

Tu dois forwarder le port 80 de ta box vers le port 80 de ton Synology

[TabasKo]

ok merci.

mais du coup, j'ai rien en listening sur ce port ?

J'ai trouvé ceci : https://stefandingemanse.nl/how-to-use-lets-encrypt-ssl-certificate-on-synology-dsm/

Qui manifestement invite à installer un serveur web (je pensais que l'agilité du Synology en dispensait dans le mécanisme du Let's Encrypt).

Et devinez quoi : Web Station s'installe pas chez moi 😞

Je tente déjà de refaire au propre le port-forwarding

- - - - - - - - - -

1000 mercis Goerges ! tu as débloqué ma situation j'ai pu créer mon certificat Let's Encrypt.

Par contre, je comprends pas ce qui est ouvert sur le port 80 ? 

Et comme je pointe plus sur le port 5000, je vois pas comment je pourrais accéder au DSM depuis le WAN (avant de valider le certification j'arrivais à charger le DSM avec mon sous domaine http://nas.xxxxxxx.com 

Là même si je tente http://nas.xxxxxxxxxx.com:5000/ çà marche pas.

Et c'est sans compter :

Je dois pas tout comprendre

Modifié le 4 novembre 2018 par tabako

[goerges]

Il y a 11 heures, tabako a dit :

 

Là même si je tente http://nas.xxxxxxxxxx.com:5000/ çà marche pas.

 

Tu dois forwarder également le port 5000 de ta box vers le port 5000 du Synology et là, cela va fonctionner.

Mais 1) j'utiliserais plutôt le port 5001 en httpS 2)perso je trouve qu'accéder à l’administration du NAS via Internet n'est pas très sécure, il vaudrait mieux utiliser un vpn si tu veux vraiment le faire.

[Mic13710]

Tout à fait d'accord avec goerges.

S'il faut accéder à DSM de l'extérieur, il est bien plus sûr de le faire par le serveur VPN du NAS (voir le tuto de Fenrir dans la partie Tutoriel). Au pire, on peut passer par le 5001, mais surtout pas par le 5000 qui est en clair et peut très facilement être intercepté !

[TabasKo]

Il y a 21 heures, goerges a dit :

Tu dois forwarder le port 80 de ta box vers le port 80 de ton Synology

Merci, c'est bon maintenant.

Du coup la question que je me pose c'est : dois je laisser le port ouvert à jamais (pour que le certifcat ssl puisse se renouveler) ou c'est un peu risqué de laisser en permanence le port 80 ouvert ? (dans quel cas, je renouvelle le certificat manuellement tout les 90 jours en ouvrant/fermant le port)

 

Oui j'ai fais le port forwarding sur le port 5001, mais je ne le laisse pas actif. Pour les rares occasions où j'en aurai besoin, je l'activerai manuellement.

 

Je vais de ce pas, chercher le tuto VPN 🙂

Mortel ! 🙂 Super bien expliqué, je vais prendre le temps de revoir mes basics 🙂

Modifié le 5 novembre 2018 par tabako

[PiwiLAbruti]

Pour ne pas laisser le port tcp/80 ouvert aux quatre vents, tu peux n’autoriser que les adresses des serveurs Let’s Encrypt à y accéder.

Les deux adresses sont dans mon post précédent, il suffit de créer les règles nécessaires dans le pare-feu.

[TabasKo]

Trop fort ! bien vu ... 

Par contre, je pourrai pas le faire au niveau de la live box je pense ... 

Tu me conseilles de le faire via quoi ? car à priori c'est très très rudimentaire sur la livebox4 ....

 

Modifié le 5 novembre 2018 par tabako

[PiwiLAbruti]

Configure les règles dans le pare-feu du NAS. Si jamais tu changes de FAI, tu n’auras que le port tcp/80 à rediriger.

[TabasKo]

Ok.

Le pare-feu était désactivé. Je l'ai activé et j'ai rajouté les 2 règles pour le port 80. J'ai bon ?

[Mic13710]

Oui c'est bon mais vos règles sont bien trop rudimentaires et vous ne bloquez rien. Il serait bon d'aller faire un tour sur le tuto de Fenrir concernant la sécurisation du NAS. Il y traite entre autres choses des règles du parefeu.

[TabasKo]

C'est toi qui vient de chatouiller à l'instant mon port 22 ? 👻    58.XX.XX.32

Je sens que je vais finalement préférer rester le plus hermétique possible avec mon NAS (usage LAN et basta) 

 

[Mic13710]

Je vous parle de vos règles de parefeu qui ne sont pas correctes et vous me demandez un truc sorti d'on ne sait où.

Si vous avez le port 22 ouvert sur l'extérieur, c'est votre affaire, mais ne vous étonnez pas d'y subir des attaques, surtout avec une parefeu passoire. En tout cas ce n'est pas moi et franchement, j'ai autre chose à faire de plus intéressant que d'aller m'amuser à ce genre d'exercice.

Enfin, le français est une belle langue qui fait le distingo entre le "vous" et le "tu".

[TabasKo]

Mon port 22 était bien ouvert, je fais tes tests avec un associé. Me suis empressé de le refermer.

Pour le "tu" je suis désolé pour cette familiarité, et j'en conviens bien, nous avons la chance d'avoir une si belle langue, riche et nuancée.

[unPixel]

il y a 28 minutes, tabako a dit :

Mon port 22 était bien ouvert, je fais tes tests avec un associé. Me suis empressé de le refermer.

Pour le "tu" je suis désolé pour cette familiarité, et j'en conviens bien, nous avons la chance d'avoir une si belle langue, riche et nuancée.

Bonsoir,

On ne demande pas à ce que tu fermes le port 22 mais que tu le sécurises ! Parce que là, ta première règle sur la capture, c'est du grand "bloubi bulga".

On dirait que tu as prit tout ce que tu avais dans le frigo et hop dans la marmite. Ça ne fonctionne pas comme ça 😉

C'est un peu osé quand même de demander à un membre (modérateur en plus) qui a des années de dépannage en bénévolat si il s'amuse avec tes ports ouverts. Tu ne trouves pas ?!

Tu n'as pas l'air de le savoir mais à partir du moment ou l'on ouvre son serveur au web, il y a automatiquement des "robots scanners" qui chercheront à pénétrer ton serveur en scannant des ports spécifiques, des plages IP etc... A toi donc de limiter les possibilités !

Je confirme bien la recommandation de Mic, tu devrais aller rapidement faire un tour sur le tuto de Fenrir sur la sécurité des NAS et le mettre en application !

 

 

Modifié le 5 novembre 2018 par InfoYANN

[TabasKo]

J'ai pensé un instant que le pare-feu avec une règle s'était mieux que pare feu désactivé...

Oui j'y suis actuellement sur son tuto! j'en sui à la double authentification !

Modifié le 5 novembre 2018 par tabako

[unPixel]

Euhhh 🙄

Sauf que toi, tu as fait ceci en gros :

1. Ok, j'accepte toutes mes applications dans la même règle.
2. Ok, je ne met aucune règle pour ce que je ne veux pas...

Donc en gros, ça revient au même que de ne pas avoir de pare feu ou que de laisser ton logement ouvert pendant que tu pars en vacances.

[TabasKo]

Bien compris ! 1 règle par service/port, à définir en conséquence des attentes.

C'était quoi la commande pour voir tous les services/ports ? il y a rien dans le DSM pour le voir simplement ?

netstat -tanpu ?   

Modifié le 5 novembre 2018 par tabako

[unPixel]

Et surtout la dernière règle la plus importante qui interdit tout le reste !

J'ai pas compris le reste, tu veux savoir quoi sur la liste des ports ?!

[TabasKo]

Je me demande s'il existe un moyen de lister tous les ports qui serait en "listening" sur le NAS, parce qu'à froid et de tête à part 21,22,80,32400, 5000,5001 pour moi y'a rien d'autre, çà se trouve il y a d'autres service qui tournent.

Je suis pas une flèche en serveur comme vous l'avez tous compris je pense 🙂

[unPixel]

Essais ça : 

netstat -paunt

[TabasKo]

çà marche exactement comme la commande que j'indiquais à priori, j'ai pas fais la différence.

C'est ce que je "redoutais" il y a pas mal de choses (qui me parlent pas)

 

$ sudo netstat -paunt | egrep -v "Plex|nginx|sshd"
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 127.0.0.1:5432          0.0.0.0:*               LISTEN      9929/postgres       
tcp        0      0 127.0.0.1:4700          0.0.0.0:*               LISTEN      9598/cnid_metad     
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      9809/smbd           
tcp        0      0 0.0.0.0:3262            0.0.0.0:*               LISTEN      12689/iscsi_snapsho 
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      9809/smbd           
tcp        0      0 192.168.1.3:32400       192.168.1.2:63394       TIME_WAIT   -                   
tcp        0      0 192.168.1.3:47934       159.89.220.42:80        TIME_WAIT   -                   
tcp        0      0 192.168.1.3:53776       165.227.243.88:80       TIME_WAIT   -                   
tcp        0      0 192.168.1.3:445         192.168.1.2:53588       ESTABLISHED 27453/smbd          
tcp        0      0 192.168.1.3:38908       138.197.239.182:80      TIME_WAIT   -                   
tcp        0      0 192.168.1.3:53786       165.227.243.88:80       TIME_WAIT   -                   
tcp        0      0 192.168.1.3:34642       138.197.235.232:80      TIME_WAIT   -                   
tcp        0      0 192.168.1.3:32400       192.168.1.2:63416       TIME_WAIT   -                   
tcp        0      0 192.168.1.3:56938       167.99.104.143:81       TIME_WAIT   -                   
tcp        0      0 192.168.1.3:47944       159.89.220.42:80        TIME_WAIT   -                   
tcp        0      0 192.168.1.3:32400       192.168.1.2:63435       TIME_WAIT   -                   
tcp6       0      0 :::445                  :::*                    LISTEN      9809/smbd           
tcp6       0      0 :::3261                 :::*                    LISTEN      -                   
tcp6       0      0 :::3263                 :::*                    LISTEN      -                   
tcp6       0      0 :::3264                 :::*                    LISTEN      -                   
tcp6       0      0 :::548                  :::*                    LISTEN      9597/afpd           
tcp6       0      0 :::139                  :::*                    LISTEN      9809/smbd           
udp        0      0 0.0.0.0:68              0.0.0.0:*                           8005/dhclient       
udp        0      0 0.0.0.0:47226           0.0.0.0:*                           8771/synosnmpcd     
udp        0      0 192.168.1.3:123         0.0.0.0:*                           23022/ntpd          
udp        0      0 127.0.0.1:123           0.0.0.0:*                           23022/ntpd          
udp        0      0 0.0.0.0:123             0.0.0.0:*                           23022/ntpd          
udp        0      0 192.168.1.255:137       0.0.0.0:*                           4338/nmbd           
udp        0      0 192.168.1.3:137         0.0.0.0:*                           4338/nmbd           
udp        0      0 0.0.0.0:137             0.0.0.0:*                           4338/nmbd           
udp        0      0 192.168.1.255:138       0.0.0.0:*                           4338/nmbd           
udp        0      0 192.168.1.3:138         0.0.0.0:*                           4338/nmbd           
udp        0      0 0.0.0.0:138             0.0.0.0:*                           4338/nmbd           
udp        0      0 127.0.0.1:161           0.0.0.0:*                           8698/snmpd          
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           4409/avahi-daemon:  
udp        0      0 0.0.0.0:46610           0.0.0.0:*                           4409/avahi-daemon:  
udp        0      0 0.0.0.0:9997            0.0.0.0:*                           7740/findhostd      
udp        0      0 0.0.0.0:9998            0.0.0.0:*                           7740/findhostd      
udp        0      0 0.0.0.0:9999            0.0.0.0:*                           7740/findhostd      
udp        0      0 0.0.0.0:1900            0.0.0.0:*                           13005/minissdpd     
udp6       0      0 ::1:123                 :::*                                23022/ntpd          
udp6       0      0 :::123                  :::*                                23022/ntpd          
udp6       0      0 :::41645                :::*                                4409/avahi-daemon:  
udp6       0      0 :::5353                 :::*                                4409/avahi-daemon:

 

J'en profite pour poser une question : nginx c'est le serveur web qui est de base pour le DSM ? c'est çà ? (est ce que du coup sa présence expliquerai que je n'arrive pas à installer le serveur web "Web Station" ?). Je projette pas d'installer un site web, mais quand je cherchais à comprendre comment ouvrir le port 80 pour let's encrypt je m'étais posé la question (je sais maintenant grâce à vous comment çà marche ! merci).

J'ai fini le tuto sécurité, c'était intéressant, et très bien expliqué. Juste un peu peur d'activer la double authentification (çà se passe comment si je perds mon téléphone, l'email indiqué me permet de récupérer le nécessaire ?

Côté Pare-Feu, normalement je suis plus clean qu'avant 🙂j'ai pas osé encore l'activé (suis un peu fatigué et je voudrai pas faire une connerie). C'est bien la ligne en vert qui me garantira le bon accès depuis mon LAN ? 

 

Modifié le 6 novembre 2018 par tabako

[Mic13710]

Pour vos règles de départ du parefeu, c'est OK.

Vous avez ouvert le 1194 (OpenVPN) et les 500, 1701, 4500 (VPN L2TP/IPSec). Vous avez activé les deux ?

Il vous manque les 2 règles pour le port 80 comme vu plus haut.

Vous devrez aussi y rajouter les règles pour les applis que vous voulez utiliser de l'extérieur. Ces règles devront être obligatoirement placées avant la dernière sinon elles seront bloquées (le parefeu lit de haut en bas).

Pour la double authentification, il est bien évident qu'il ne faut pas compter sur un seul pourvoyeur de code. Tous fonctionnent sur un protocole commun qui fourni un mdp unique (OTP) à partir d'une clé et d'une base temps (horloge). Il suffit de récupérer et conserver la clé en lieu sûr, pour pouvoir l'utiliser sur n'importe quel système afin d'obtenir le code. Vous avez Google Athenticator, FreeOTP, Authy Desktop en systèmes autonomes, ou bien KeeOTP en addin de Keepass. Il y en a d'autres.

Les trois points les plus importants sont :

1. Avoir les horloges synchronisées (serveurs temps internet) pour que les codes générés soient identiques. Si les horloges sont décalées, les codes seront erronés,
2. Récupération et conservation de la clé pour pouvoir l'utiliser ailleurs (Keepass est un très bon outil pour ça)
3. Sauvegarde des codes de secours pour pouvoir accéder au NAS si les codes ne sont plus opérationnels (non récupérables ou bases temps désynchronisées)