Aller au contenu

Sécuriser mon NAS (en lien étroit avec Fenrir et Kawamashi !)


Messages recommandés

Bonjour !

En surfant sur le forum pour trouver une petite information quelconque, j'ai lu par curiosité le tutoriel de Fenrir (Sécuriser NAS), puis Kawamashi (Reverse Proxy), puis les autres... Bon autrement dit, j'ai trouvé que Quickconnect ce n'est pas folichon niveau secure et ça tombe bien parce que c'est comme ça que je me connectais à mon NAS...

Du coup, j'ai épluché en détail ces tutos, je me suis familiarisé avec tous les termes/ vocabulaire, systèmes d'échanges, protocoles et j'en passe pour sécuriser mes données. Je pense que je suis proche de finir(lol) mais il me reste des questions auxquelles je ne trouve pas de réponses "directes".

J'ai regroupé ça en 2 parties : Reverse Proxy et Webdav

(PS: Je ne suis que néophyte dans cette logique de réseau, donc c'est possible que j'ai écris des énormités, ou que je ne comprenne pas tout ! Je comprends vite, mais faut m'expliquer longtemps)

  1. Reverse Proxy

Premièrement, je souhaite mettre en place un reverse proxy sur mon NAS pour accéder à mes divers services tout en évitant d’ouvrir 3000 ports sur ma BOX, sachant que je ne connais pas tous les tenants et aboutissants (et donc risques) de ces démarches.

Paramètres BOX

·        Donc si je comprends bien (surtout, dites-moi si je me plante), quand je suis à l’extérieur (de mon réseau local), j’accède à mon NAS via xxxxx.synology.me par le port 443 (https).

·        Ça implique que sur ma BOX j’ouvre uniquement le 443, mais comment ? (Je ne sais même pas si les ports que j’ai ouverts sur ma BOX sont bien ouverts, ou si je n’ai pas fait n’importe quoi.)

·        À l’heure actuelle, j’ai ça comme règle, et ça comme ports ouverts.

ep13.png

sb2a.png

·        Et donc le port 443 devrait ressembler à ça ?

vzg1.png

Une fois tout paramétré je compte supprimer la règle pour le 5001 et le port 5001 du pare-feu.

C’est tout bon ?

 

Paramètres NAS

Sur mon NAS je dois laisser les paramètres DSM comme tels ?  Avec cette case cochée ? (Ça gêne avec les certificats plus tard non ?)

uypo.png

wq04.png

·        Dans les paramètres application j’ai ça.

qflk.png

·        Dans mon reverse proxy j’ai ça.

40uu.png

j9os.png

·        Pour mes ports j’ai ouvert ça, sachant que je veux pouvoir y accéder de partout (FR, comme Monde).

lmal.png

Est-ce qu’il faut que je mette tous les ports http rentrés dans « Application » ?

 

·        Maintenant je souhaite faire de même avec Photostation, mais je sais que s’est géré différemment, donc je fais comment ? je présume qu’il faut rentrer quelque chose ici ?

ieyy.png

tq6w.png

Comment je fais ?

 

Certificat et Web station

·        J’avais déjà fait un certificat pour HTTPS, mais je n’avais pas rempli les sous-domaines. Comment je fais ? j’en refais un, avec le même nom d’hôte xxxxx.synology.me et en sous-domaine Photo.xxxxxx.synology.me etc.? et si je dois en rajouter un jour, je refais tout ? Comment je fais pour que quand je me connecte avec Https://yyyy.xxxxx.synology.me ça ne m’affiche pas les problèmes de certificats ?

·        De plus j’ai lu qu’il fallait WebStation avec un script quelque pars pour rediriger yyyy.xxxxx.synology.me (sans le https://)  à l’adresse https://yyyy.xxxxx.synology.me automatiquement, mais je ne sais pas du tout comment faire…

 

2.      KeePass & Co

J’utilise KeePass  pour gérer mes mdp. Ma BD Keepass est stockée sur une clé USB pour avoir un BD commune (et donc quand je veux ma BD je vais chercher mon USB), bon bref c’est nul.

J’ai vu que je pouvais ouvrir la BD via Webdav sur mon smartphone et sur mes différentes machines. Et comme mon NAS peut gérer ça, je souhaite la mettre dessus pour y avoir accès partout.

Donc j’ai DL Webdav, mais je ne sais tout simplement ni comment le paramétrer, ni où (quel dossier) mettre ma BD (Comment dire que seul CE dossier, ou je mettrais la BD, est disponible via Webdav).

8a4u.png

Étant donné que je ne comprends pas trop comment fonctionne « l’échange », je préférè demander, je veux juste que seul ce dossier soit dispo via ce protocole, d’ailleurs si je mets ma BD KeePass dans ce dossier, comment je retrouve l’adresse (url) de ce dossier ?

y4pc.png

7i3j.png

est-ce que c'est là dedans ? Comment je fais tout cela ?

 

Vous avez 4 heures. 😀

 

 

Je remercie par avance tous ceux qui pourront/voudront m’aider (j’ai lu presque tous les tutos qui portent sur mon problème, mais je préfère être sûr. De plus, certains trucs ne sont pas dans les différents tutos).

Je ne pense pas que mes questions soient bien compliquées pour vous ^^.

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Non Non nonn ne répondez pas tous en même temps 😎

Bon si jamais pour ceux qui sont intéressés, j'ai réussi à paramétrer mon NAS pour que KeePass Android et mes autres machines puissent lire ma BD keepass via WebDav (https). Je sais pas trop si c'est incroyable, m'fin vu que sur ce fofo y'a pas grand chose sur le sujet.

Lien vers le commentaire
Partager sur d’autres sites

bonjour,

étant aussi utilisateur de keepass, ca m’intéresse bcp - mais je ne comprends pas bien ton utilisation : tu veux que ta BDD soit sur le NAS et du coup accessible depuis partout c'est ça ?

mon "pb" c'est je l'utilise aussi pour mes mdp pro

donc ma bdd est sur clé usb que je branche tantôt sur le pc perso, tantôt sur le pc pro...

et c'est vrai j'aimerais qu'elle soit accessible depuis mon smartphone car (de temps en temps...) ca me fait suer d'allumer l'ordi pour récupérer un mdp...

 

cordt

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Citation

C’est tout bon ?

Je dirais que oui.

Ensuite pour ta première capture d'écran suite à ta question, tu décoches la redirection auto http > https.

C'est pourtant expliqué sur le tuto de Fenrir 😉

Tu enlèves aussi les ports 5000 et 5001 et tu mets ton domaine avec les ports 80 et 443.

Pour la partie Pare-feu tu dois supprimer l'entrée SSH (Service terminal chiffré) qui est en doublon avec tes premières règles puisqu'elles autorisent déjà tout sur le réseau local.

Citation

·        Dans les paramètres application j’ai ça.

Non, tu enlèves les ports https et laisse uniquement les ports http.

Si Vidéo Station ne fonctionne pas alors tu utiliseras le port https aussi pour le local et non le port http. Je ne sais pas si ils ont réglés ce soucis entre temps mais je sais que le paquet a été mit à jour récemment.

Pour Keepass, tu  peux éventuellement fonctionner avec Drive non ?

Lien vers le commentaire
Partager sur d’autres sites

En effet, même si Drive a une fonction de sauvegarde en désactivant la suppression sur serveur quand c'est supprimé sur un appareil, ce n'est pas à proprement parlé de la sauvegarde.

Merci pour l'info en tout cas 😉

Tu ne veux pas passer à Drive ?

Lien vers le commentaire
Partager sur d’autres sites

Ce n'est pas tant Drive que le fait que je sois encore en 6.1. Je n'ai pas de besoin particulier pour passer à la 6.2, si ce n'est Drive. Et comme CS me convient, je ne suis pas trop pressé 😊

Mais tu as raison, je devrais franchir le pas, ne serait-ce que pour être à niveau sur les dernières versions de DSM. Ce qui me dérangeait dans les premières réactions à la mise en place de Drive c'est qu’apparemment il ne pouvait pas travailler en offline (pas de dossier local). C'était sans doute une problème de paramétrage, mais ça m'a refroidi et du coup je suis resté sur la 6.1 qui me convient tout à fait. Je vais regarder à nouveau.

Lien vers le commentaire
Partager sur d’autres sites

???

Drive a toujours été online et offline.

Quand tu synchronises un appareil avec le serveur, le dossier local sur l'ordinateur ne fait pas un raccourcis des fichiers mais bel et bien une copie.

Ensuite, si tu te remets online, la partie serveur et client vont se synchroniser pour mettre à jour les éventuels changements effectués (suppressions, modifications, ajouts etc...)

Peut-être que Drive sur smartphone fonctionne pas pareil, je ne sais pas.

 

Tu devrais franchir le pas de DSM 6.2 surtout pour les failles de sécurité qui ont été bouchées 😉

 

Lien vers le commentaire
Partager sur d’autres sites

Je connais le principe de fonctionnement d'un cloud, mais comme je l'ai écrit, certains ont eu des difficultés avec la première mouture de Drive concernant le offline.

Par ailleurs, je ne suis pas un adepte de la mise à jour à tout prix. Je laisse les autres essuyer les plâtres pendant quelques mois avant de basculer sur une maj importante. Il est temps je pense de le faire puisque la 6.2 est stable. Je me lance 😊

Lien vers le commentaire
Partager sur d’autres sites

LOL. J'attends que ma médiathèque (10To) soit sauvegardée sur la toile avant de lancer la MAJ du NAS.

J'ai déjà foiré mon backup une fois alors qu'il n'avait envoyé que trois To alors là, je vais attendre mdr. Et puis il ne reste plus que 2 ou 3 To à envoyer.

Je vais lancer la MAJ sur le principal incessamment sous peu mais je bosse avec 😞

 

Modifié par Zeus
Lien vers le commentaire
Partager sur d’autres sites

Merci de vos réponses,

Pour Keepass, oui c'est bien ça, je me connecte dessus sur mes 3 machines + mon smartphone (Android) et elle se synchronise toute seule entres ces différentes parties. (Je passe par Webdav) Si ça t’intéresse je peux mettre en forme mon petit tuto perso)

 

Ensuite pour le paramétrage NAS, j'ai ouvert que le 443 sur ma box, et j’accède à mes différents services via nas/video/musique  .XXXXXX.synology.me

La redirection https via le script Php ne fonctionne pas, je sais pas pourquoi, mais tant pis, je marque l'URL avec "https://" à chaque fois.

Le seul truc que je n'arrive pas à faire, c'est paramétrer le reverse proxy pour photostation, et je comprends pas non plus le fonctionnement de DS photo.

Si quelqu'un a son photostation via un reverse proxy je suis preneur !!

 

Lien vers le commentaire
Partager sur d’autres sites

C'est logique que la redirection ne fonctionne pas puisque tu dis utiliser que le port 443. Il faut pour cela ouvrir le port 80 pour que la redirection fonctionne.

Moi j'ai choisi de faire comme ça car je partage des liens avec du monde et ils ne sont pas tous connaisseurs mais pour celui qui par exemple utilise pour lui même son NAS, il peut passer par le 443 sans ouvrir le port 80 et donc sans créer une redirection https puisqu'il est seul et sait qu'il doit passer par ce port.

Pour le reverse proxy de Photo Station, il y a une astuce postée sur le forum mais je la connais pas comme je l'utilise pas.

Je préfère taper directement https://ndd.tld/photo qui fonctionne aussi bien.

 

Lien vers le commentaire
Partager sur d’autres sites

@Zeus Ah ben oui, c'est vrai que j'ai pas pensé a ça ! je vais tenter en ouvrant le port 80.

 

Tu accèdes a photostation comment ?

Via le filestation.xxxxx.syno.me/photo où par dsm.xxxxx.syno.me/photo ?

Filestation et Dsm étant les chemins d’accès paramétrés dans le reverse proxy.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 14 heures, d4RSH a dit :

Merci de vos réponses,

Pour Keepass, oui c'est bien ça, je me connecte dessus sur mes 3 machines + mon smartphone (Android) et elle se synchronise toute seule entres ces différentes parties. (Je passe par Webdav) Si ça t’intéresse je peux mettre en forme mon petit tuto perso)

...

 

bonjour,

 

oui je suis preneur !!

 

d'avance merci !!

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.