PierU Posté(e) le 17 décembre 2018 Partager Posté(e) le 17 décembre 2018 Bonjour, Question sécurité, est-il raisonnable de monter un partage SMB du Syno au travers d'internet ? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a évolué... Si oui quels avec quels paramètres sur le serveur, pour une authentification chiffrée (indispensable) ? Pour un transport chiffré (pas forcément indispensable pour mon usage) ? J'ai envisagé aussi webdav, mais je le trouve vraiment peu efficace. Notamment j'ai l'impression que quand on veut accéder à un fichier il est entièrement téléchargé en local avant d'être ouvert (je me trompe ?). Il y a aussi la solution sshfs, mais ça réclame l'installation d'un client sshfs sur les ordis des utilisateurs (et ce n'est pas tout à fait satisfaisant sur certains points). 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
pluton212+ Posté(e) le 18 décembre 2018 Partager Posté(e) le 18 décembre 2018 Bonjour, si la sécurité est le critère, il faut utiliser le VPN du syno. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PierU Posté(e) le 18 décembre 2018 Auteur Partager Posté(e) le 18 décembre 2018 Il y a 9 heures, pluton212+ a dit : si la sécurité est le critère, il faut utiliser le VPN du syno. Peut-être, mais ça ne répond pas à ma question 🙂 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
pluton212+ Posté(e) le 18 décembre 2018 Partager Posté(e) le 18 décembre 2018 Peut-être, mais c'est la solution la PLUS sécurisée... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 18 décembre 2018 Partager Posté(e) le 18 décembre 2018 Il est fortement déconseillé d’utiliser SMB directement sur Internet pour des raisons de sécurité. Le VPN est un bon moyen d’assurer la sécurité des communications SMB. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PierU Posté(e) le 18 décembre 2018 Auteur Partager Posté(e) le 18 décembre 2018 Il y a 4 heures, pluton212+ a dit : Peut-être, mais c'est la solution la PLUS sécurisée... La sécurité ce n'est pas une recette unique qui donne 0% de risque (ça se saurait), et on ne met pas en oeuvre les mêmes solutions suivant ce qu'on a à protéger. Que le VPN soit potentiellement plus sécurisé que le SMB en direct je veux bien le croire, mais ce que je veux évaluer c'est le niveau de risque du SMB en direct. Dans mon cas le VPN présente quelques inconvénients, donc je regarde quelles sont les autres solutions. Il y a 3 heures, PiwiLAbruti a dit : Il est fortement déconseillé d’utiliser SMB directement sur Internet pour des raisons de sécurité. Le problème c'est que j'ai l'impression que SMB se traîne une mauvaise réputation (méritée, certes) du fait que les premières versions n'intégraient aucune préoccupation de sécurité, et du fait que l'implémentation de MS a toujours été pas mal trouée. Mais quand je lis des trucs sur SMB3 ça a l'air quand même assez sérieux au niveau authentification et chiffrage (sachant que pour ce qui est prévu à la limite il suffit que l'authentification soit safe (les fichiers qui doivent transiter sont soit totalement non confidentiels, soit chiffrés à la source)). Par ailleurs samba n'est pas l'implémentation de MS. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PierU Posté(e) le 19 décembre 2018 Auteur Partager Posté(e) le 19 décembre 2018 (modifié) je suis tombé sur cette discussion reddit (en anglais), qui donne plein d'arguments tout à fait censés contre l'utilisation de SMB, même en v3, sur internet : https://www.reddit.com/r/sysadmin/comments/6wvvcm/experts_help_us_understand_smb3x_inflight/ L'argument le plus évident étant que SMB -quelle que soit la version- n'a jamais été pensé pour cet usage par Microsoft. Sauf que... MS utilise bien SMB3 pour les partages de fichiers sur son cloud Azure : https://docs.microsoft.com/fr-fr/azure/storage/files/storage-how-to-use-files-windows Azure étant ultra-important dans leur stratégie, ils ne peuvent pas se permettre d'être négligents avec la sécurité, et ils ont apparemment suffisamment confiance en SMB3 pour le faire utiliser à leurs client au travers d'internet... Après, je suppose que tout est question de configuration côté serveur, c'est là qu'il faut être très rigoureux. Modifié le 19 décembre 2018 par PierU 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 19 décembre 2018 Partager Posté(e) le 19 décembre 2018 Microsoft utilise au moins SMB 3.1.1 sur Azure (il y a des écarts importants avec les versions inférieures de SMB 3). Reste à vérifier si le niveau d’implémentation de Samba correspond à cette version. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PierU Posté(e) le 20 décembre 2018 Auteur Partager Posté(e) le 20 décembre 2018 samba lui-même supporte SMBv3.1.1 depuis sa version 4.3 en 2015 : https://en.wikipedia.org/wiki/Samba_(software) La version de samba sur mon DS418j avec DSM à jour est la 4.4.16 : $ sudo smbstatus -V Version 4.4.16 Synology Build 23824, Oct 26 2018 19:47:01 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 20 décembre 2018 Partager Posté(e) le 20 décembre 2018 Microsoft n'apporte aucune explication claire quant à l'usage de SMB 3 en frontal sur un réseau publique. Par contre, on trouve quelques éléments de réponse sur le site officiel : Citation SMB Encryption Provides end-to-end encryption of SMB data and protects data from eavesdropping occurrences on untrusted networks. Requires no new deployment costs, and no need for Internet Protocol security (IPsec), specialized hardware, or WAN accelerators. It may be configured on a per share basis, or for the entire file server, and may be enabled for a variety of scenarios where data traverses untrusted networks. De mon point de vue, le fait de n'avoir trouvé aucune documentation ou explication suffisamment claire sur ce sujet m'empêcherait clairement d'ouvrir SMB sur internet. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PierU Posté(e) le 20 décembre 2018 Auteur Partager Posté(e) le 20 décembre 2018 Ils sont quand même très affirmatifs sur l'utilisation possible sur des réseaux qui ne sont pas de confiance (untrusted networks)... Il faudrait sans doute demander aux développeurs de samba comment ils voient les choses de leur côté. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 21 décembre 2018 Partager Posté(e) le 21 décembre 2018 Bonjour, Et WebDAV en SSL ? Ça ne te suffit pas ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PierU Posté(e) le 21 décembre 2018 Auteur Partager Posté(e) le 21 décembre 2018 Le 18/12/2018 à 00:24, PierU a dit : J'ai envisagé aussi webdav, mais je le trouve vraiment peu efficace. Notamment j'ai l'impression que quand on veut accéder à un fichier il est entièrement téléchargé en local avant d'être ouvert (je me trompe ?). 😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 21 décembre 2018 Partager Posté(e) le 21 décembre 2018 Ah ok, je n'avais pas vu ce message. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.