[Résolu]Pare-feu et QuickConnect

[Pandore62]

Bonjour, 

 

Je viens de créer mes règles de pare-feu pour n'autoriser que des IP françaises ainsi que les IP locals entre 192.168.0.0 et 192.168.1.255, ma dernière règle est de bloquer tous.

 

Le problème est lorsque je fais un essais en me connecter en Belgique avec mon quickConnect, celui-ci arrive à ce connecter. Logiquement je devrais être bloqué non ?

 

Merci à tous pour votre aide. 

 

 

Modifié le 16 août 2020 par Pandore62

[maxou56]

Il y a 5 heures, Pandore62 a dit :

Je viens de créer mes règles de pare-feu pour n'autoriser que des IP françaises

Bonjour,

⚠️ La 1ère n'est pas bonne, tu autorises tous les ports du NAS pour les IP Française, il faut autoriser seulement certains ports.

2nd point, le pare feu est pour la LAN1 uniquement (dans ce cas la LAN2 est configuré?), il faut mieux configurer dans toutes les interfaces, sauf si tu souhaites des réels spécifiques pour chaque interfaces.

 

 

Ensuite il n'y a pas beaucoup de personne sur le forum qui utilise "QuickConnect"

Les données transitent par les serveurs de Synology.

 

Il faut mieux utiliser un DynDNS et ouvrir les ports sur la box (Régles NAT/PAT).

Modifié le 16 août 2020 par maxou56

[Pandore62]

Merci pour ta réponse, j’utilise quickconnect car on m’a dit que les dyndns gratuit n’était pas sécurisé. Ne sachant pas j’ai plutôt fait confiance à Synology, après je suis ouvert, car je souhaite améliorer la sécurité de mon Syno.

pour le lan 1, c’est parce que je compte mettre par la suite mes caméras sur le lan 2 (réseau vraiment coupé du réseau local avec ma box) car je n’ai pas confiance en la sécurité des caméras (jamais de mise à jour etc)

[maxou56]

Le DDNS de Synology suffit si tu n’as pas ip fixe (dispo dans accès externe).

 

il y a 17 minutes, Pandore62 a dit :

c’est parce que je compte mettre par la suite mes caméras sur le lan 2

👍 c’est ce que je fait sur une VLAN dédié aux caméras.

[Pandore62]

Je n’ai pas de switch manageable avec vlan malheureusement. Et niveau sécurité c’est mieux d’utiliser le ddns Synology plutôt que le quickConnect Synology ? 

[PiwiLAbruti]

La connexion à ton NAS via QuickConnect passe systématiquement par des serveurs Synology alors que l'utilisation d'un nom de domaine (DDNS ou non) va pointer directement sur ton NAS sans passer par des serveurs tiers.

[Pandore62]

merci, je vais modifier ça 

[kasimodem]

Le 16/08/2020 à 17:15, maxou56 a dit :

Bonjour,

⚠️ La 1ère n'est pas bonne, tu autorises tous les ports du NAS pour les IP Française, il faut autoriser seulement certains ports.

Bonjour,

Je suis d’accord qu’ouvrir tous les ports à toute la France n’est pas bon, mais là le risque est minime puisque ce n’est pas le Syno qui est en frontal d’internet mais la Box FAI qui elle ne NAT que ce qu’on lui dit, donc il n’y a pas de risque d’attaque, on parle là juste de bonnes pratiques..

Le 16/08/2020 à 17:15, maxou56 a dit :

Ensuite il n'y a pas beaucoup de personne sur le forum qui utilise "QuickConnect"

Les données transitent par les serveurs de Synology.

Je ne suis pas d’accord avec ça, ce ne sont pas les données qui transitent par les serveurs de Syno, et heureusement, mais seulement les clés de chiffrement du https. Le risque c’est que si un tiers récupère la clé privée de Syno par piratage, il saura intercepter les requêtes et donc potentiellement des identifiants, mais pas les données non 😉

[maxou56]

il y a 7 minutes, kasimodem a dit :

Je ne suis pas d’accord avec ça, ce ne sont pas les données qui transitent par les serveurs de Syno, et heureusement

Et comme ça ce passe si aucun port est ouvert dans la BOX (ou en 4G), qui est justement le but de QuickConnect ?

[kasimodem]

Et bien c’est ce que je disais, si tu fais une règle firewall qui autorise tout, ou si tu désactives le firewall, ce qui reviens au même, puisque la Box n’autorise aucune translation de port, alors qu’importe, le Syno n’est jamais exposé.

Quickconnect demande à distance l’ouverture dynamique d’un port (upnp) puis négocie un canal ssl avec des clés de chiffrement qui sont ton login et mot de passe Synology. Une fois le canal établi, ça se passe entre ton Syno et le périphérique qui demande les données, mais en aucun cas tes fichiers ne vont partir chez Syno.. c’est le principe de base de tout certificat SSL.

Modifié le 17 août 2020 par kasimodem

[maxou56]

il y a 20 minutes, kasimodem a dit :

l’ouverture dynamique d’un port (upnp)

Si l'upnp est désactivé (ce qu'il faut faire pour la sécurité!).

Ça ce passe comment ?? la question est uniquement rhétorique.

 

Je te donnes la réponse de Synology.

"Votre connexion QuickConnect sera relayée via Synology Relay Server lorsqu'un accès direct de QuickConnect au Synology NAS n'est pas possible dans l'environnement réseau actuel."

Donc les données passent par les serveurs de Synology.
 

Modifié le 17 août 2020 par maxou56

[Pandore62]

C’est donc plus risqué d’ouvrir le quickConnect que n’ouvrir qu’un ddns avec un port https dans la box ? 

[kasimodem]

L’autorité de certification de quickconnect est Amazon, le plus gros fournisseur de cloud privé au monde, donc c’est quand même pas le petit hébergeur du coin à risques.

je vois pas en quoi c’est plus risqué que Positivessl, le fournisseur de certificats anglais de ovh. Pour moi dans les deux cas c’est solide et à part une attaque qui déroberait les clés privés de chiffrement pour intercepter tes identifiants, je vois pas en quoi quickconnect est un risque majeur.

il y a 16 minutes, maxou56 a dit :

Si l'upnp est désactivé (ce qu'il faut faire pour la sécurité!).

Ça ce passe comment ?? la question est uniquement rhétorique.

 

Je te donnes la réponse de Synology.

"Votre connexion QuickConnect sera relayée via Synology Relay Server lorsqu'un accès direct de QuickConnect au Synology NAS n'est pas possible dans l'environnement réseau actuel."

Donc les données passent par les serveurs de Synology.
 

Mais non, c’est l’établissement de la connexion qui est relayé chez Syno, pas tes données !

Tu imagines le délais pour lire tes fichiers s’ils transitaient intégralement par un serveur de Synology quelque part dans le monde ? Ce serait une horreur ! Ce n’est que l’établissement du chiffrement ssl qui passe chez eux.

[maxou56]

il y a 14 minutes, kasimodem a dit :

Tu imagines le délais pour lire tes fichiers s’ils transitaient intégralement par un serveur de Synology quelque part dans le monde ? Ce serait une horreur ! Ce n’est que l’établissement du chiffrement ssl qui passe chez eux.

Alors explique moi comment font les données font pour transiter si les ports sont fermés et que l'upnp est désactivé ?

 

Modifié le 17 août 2020 par maxou56

[kasimodem]

Et bien il faudra aller lire les livres blancs de Synology sur le sujet car moi je n’ai pas la réponse, mais probablement que puisque c’est le Syno Qui initie la connexion SORTANTE, ça bypass la Box logiquement, mais dans ce cas c’est un peu plus lent.

mais clairement non, aucun de tes fichiers ne passe par un serveur de Synology. Genre tu veux récupérer un ISO sur ton Syno de 4 Go, il va d’abord s’uploader chez Syno qui va ensuite te le downloader ? Tu imagines le binz, le trafic généré et le stockage nécessaire chez Syno vu le nombre de clients ? Heureusement que non ! Je maintiens que seul l’établissement du chiffrement de la connexion entre ton Syno et ton client passe par les serveurs de Synology.

[maxou56]

il y a 34 minutes, kasimodem a dit :

moi je n’ai pas la réponse

Oui c'est ce que j'avais cru comprendre.

Pourquoi alors arriver de façon si affirmative, alors que tu n'en as aucune idée? 🤔

 

Car cette usage de QuickConnect (sans aucun port d'ouvert et l'upnp de désactivé) est majoritaire. 

 

il y a 34 minutes, kasimodem a dit :

il va d’abord s’uploader chez Syno qui va ensuite te le downloader ? Tu imagines le binz, le trafic généré et le stockage nécessaire chez Syno vu le nombre de clients ?

Cela montre une certaine incompréhension/confusion dans le fonctionnement des réseaux.

Modifié le 17 août 2020 par maxou56

[kasimodem]

Je sais expliquer comment fonctionne une certificat SSL mais pas comment Synology ouvre dynamiquement des ports sur son matériel parce que non, je ne suis pas allé lire leurs livres blancs de sécurité et que donc je ne m’avancerai pas sans savoir ce point précis. Par contre toi tu prétends que toutes les données transitent chez Synology, tu n’en démords pas mais à aucun moment tu n’apportes d’éléments techniques pour cette affirmation et tu campes sur cette position en m’expliquant que je ne sais rien.

Donc vu que ce n’est pas mon topic et que c’est donc du hors sujet, je laisse, après tout chacun croit ce qu’il veut.

Bonne soirée.

Modifié le 17 août 2020 par kasimodem

[maxou56]

il y a 17 minutes, kasimodem a dit :

après tout chacun croit ce qu’il veut.

Bonne soirée.

😉 Bonne soirée.

[PiwiLAbruti]

Intéressant comme échange 🤣

Je vous invite tous les deux à configurer QuickConnect, lancer une capture tcpdump sur le NAS, faire une copie de fichier (upload et download) via File Station, et partager vos résultats.

Ça mettra tout le monde d'accord 😘

[kasimodem]

Ne me considérant pas comme spécialiste et désireux d'apprendre, mais faute de mieux que "tu ne sais rien" comme contre arguments, je suis allé fouiller chez Syno et j'ai eu ma réponse.

Dans Panneau de config / Quickconnect / Avancé si on décoche Activer le relais, c'est un tunnel direct entre le Syno et l'hote demandeur qui se monte, ce qui transite par le serveur Synology est donc juste la négociation du tunnel avec les clés SSL comme je disais, pas les données.

Si par contre on coche l'option relais, là oui, le tunnel passe par le serveur Synology le plus proche géographiquement, mais ça reste dans un tunnel donc chiffré, rien n'est envoyé en clair. Et cette option est un dernier recours, Quickconnect essaie d'abord dans l'ordre le lien réseau local, puis le dyndns, puis le tunnel, et enfin si rien ne fonctionne le relais.

 

[oracle7]

@kasimodem, @maxou56, @PiwiLAbruti

J'ai trouvé cette "White Paper" de Synology qui explique parfaitement le fonctionnement de Quickconnect avec des synoptiques très clairs des flux échangés.

Ce qui me gêne c'est dans le cas où le "Hole Puching" ne parvient pas à établir un tunnel virtuel entre le NAS et le client demandeur, un serveur relay de Synology est activé pour rediriger les flux de données dans un tunnel spécifique.

Quelle confiance accorder à ce serveur relais qui voit passer alors les données même si celles sont cryptées, c'est quand même (si j'ai bien compris) le serveur Synology initial qui délivre lors du processus de connexion, les clés de chiffrement nécessaires pour cette communication "tunelisée". Je n'ai pas vu/compris qu'il utilisait les nôtres (privée/publique) d'où mon embarras ?????

Si quelqu'un pouvait approfondir ce point en expliquant ce qu'il en est effectivement ...

Cordialement

oracle7😉

[PiwiLAbruti]

Le problème de QuickConnect est que l'utilisateur ne sait à aucun moment laquelle des 5 méthodes est utilisée pour joindre son NAS :

1. Accès direct (dans le cas où les ports sont ouverts sur le routeur et que les règles de pare-feu du NAS autorisent les serveurs QuickConnect à le joindre)
2. Hole punching (les ports aléatoires de chaque client utilisés pour joindre le service QuickConnect sont utilisés pour les faire communiquer en direct)
3. UPnP (à proscrire)
4. Relais
5. Portail web

C'est plus un problème de confiance qu'un problème technique.

Le but d'un NAS étant d'avoir son propre hébergement privé, l'utilisation d'un service tiers susceptible de relayer les échanges va à l'encontre de ce principe. Après ce n'est qu'une question de point de vue.

Modifié le 18 août 2020 par PiwiLAbruti
Moi pas Français bien écrire

[oracle7]

@PiwiLAbruti

Merci pour ta réponse. C'est bien ce que je pensais, tout tient dans la confiance que l'on accorde aux serveurs Synology.

Par ailleurs, j'ai lu dans plusieurs reprises sur la toile que le serveur relai déchiffrerait les données au passage. Info ou intox ?

Cordialement

oracle7😉

[PiwiLAbruti]

Techniquement, les serveurs relais peuvent tout à fait déchiffrer le traffic. Est-ce qu'ils le font ? Seul Synology a la réponse.

[maxou56]

Il y a 4 heures, kasimodem a dit :

Ne me considérant pas comme spécialiste et désireux d'apprendre, mais faute de mieux que "tu ne sais rien" comme contre arguments, je suis allé fouiller chez Syno et j'ai eu ma réponse.

Je n'est pas dit que "tu ne savait rien", si tu l'as compris comme ça désolé. ☹️

 

Il y a 18 heures, maxou56 a dit :

Je te donnes la réponse de Synology.

"Votre connexion QuickConnect sera relayée via Synology Relay Server lorsqu'un accès direct de QuickConnect au Synology NAS n'est pas possible dans l'environnement réseau actuel."

Donc les données passent par les serveurs de Synology.
 

J'ai indiqué que Synology pouvait utilisé des serveurs relais si tous les ports étaient fermés (upnp aussi), et c'est toi qui répond impossible.

Et si j'activais QuickConnect je serais dans ce cas là.

Voila le schéma que j'aurais pu/dû trouvé hier soir (mais je ne suis pas sur que ça aurait changé l'avis tranché de @kasimodem)

 

Il y a 17 heures, kasimodem a dit :

mais clairement non, aucun de tes fichiers ne passe par un serveur de Synology. Genre tu veux récupérer un ISO sur ton Syno de 4 Go, il va d’abord s’uploader chez Syno qui va ensuite te le downloader ? Tu imagines le binz, le trafic généré et le stockage nécessaire chez Syno vu le nombre de clients ? Heureusement que non ! Je maintiens que seul l’établissement du chiffrement de la connexion entre ton Syno et ton client passe par les serveurs de Synology.

Les réseaux ne fonctionnent pas comme ça ("par saut de puce"), les serveurs, switch, routeur, relais ne téléchargent pas intégralement les fichiers, les stockent temporairement, pour ensuite les transmettrent au suivant...

Modifié le 18 août 2020 par maxou56