Sécuriser ses accès externes

[Ragnarou]

Bonjour à tous,

Je suis en train de paramétrer mon NAS, et je souhaite pouvoir accéder depuis l'extérieur à certaines applications (DS Audio, DS Video, DS Note, etc). Cela fonctionne, mais j'ai du mal à comprendre pourquoi 😁.

Je me suis basé sur le tutoriel de @Fenrir

Voici ma configuration :

• QuickConnect est désactivé
• Dans les options 'Accès externe' :
  • J'ai un DDNS en XXXX.synology.me
  • Routeur désactivé
  • Avancé : j'ai comme nom d'hôte mon XXXX.synology.me et les ports http et https sont vides

 

• Au niveau du pare-feu, j'ai les règles suivantes :

• J'utilise le portail des applications pour accéder à mes appli , avec des numéro de port personnalisés :

• J'utilise également un reverse proxy :

• Au niveau de mon routeur (SFR RED) :
  • J'ai un réservation d'adresse locale pour mon NAS via son adresse MAC :
  • 
  • Mon pare-feu est réglé sur le mode 'élevé' :
  • 
• Je n'ai aucune règle dans les redirections de port de mon routeur.

J'arrive à accéder à DS Audio, DS Photo, etc. depuis mon réseau local en saisissant le nom de domaine suivant : dsaudio.XXXX.synology.me:443. J'arrive également à y accéder depuis l'extérieur avec la même adresse. Or, je n'ai créé aucune règle dans mon routeur pour rediriger le port 443 vers l'adresse IP de mon NAS, je n'ai pas non plus de règle dans le pare-feu du NAS ou dans celui du routeur qui autorise les ports que j'ai saisi dans le portail des applications (7083 et 7043 pour DS Audio par exemple).

Au final, j'arrive au résultat escompté (accéder à ces applis depuis l'extérieur), mais je ne comprends pas comment c'est possible. Du coup, je crains que mon NAS ne soit ouvert aux quatre vents. Est-ce que quelqu'un pourrait m'aiguiller en m'indiquant où j'ai pu faire erreur ?

En vous remerciant par avance !

Ragnarou

Modifié le 26 août 2020 par Ragnarou

[Thierry94]

Bonjour,

Comme tu as mis en place le reverse proxy les accès aux applications se font via le port 443 de la box puis du nas et sont dispatchées vers  l'application demandée sur son port http. Les ports https que tu as mis dans applications ne sont donc pas utilisés.

Es tu vraiment sûr que tu n'as pas de routage du 443 de la box vers le 443 du nas ?

N'aurais tu pas mis ton nas dans la dmz de la box ?

[PiwiLAbruti]

S'il n'y a aucun port d'ouvert dans les règles NAT/PAT, je ne vois que deux possibilités :

S'il y a une option UPnP sur la box SFR, désactive-la. Ce service permet à n'importe quelle application (programmes malveillants inclus) d'ouvrir automatiquement les ports dont elle a besoin sur le routeur. Les ports éventuellement ouverts par DSM apparaissent dans Panneau de configuration > Accès externe > Configuration du routeur (que tu sembles déjà avoir désactivé dans DSM, c'est une bonne chose).

S'il y a une option DMZ sur la box SFR, vérifie qu'elle est bien désactivée (aucune destination). Si l'adresse IP du NAS y est renseignée, tous les ports (de 1 à 65535) sont redirigés vers lui.

 

[Ragnarou]

il y a 1 minute, Thierry94 a dit :

Bonjour,

Comme tu as mis en place le reverse proxy les accès aux applications se font via le port 443 de la box puis du nas et sont dispatchées vers  l'application demandée sur son port http. Les ports https que tu as mis dans applications ne sont donc pas utilisés.

 

Merci pour ton retour @Thierry94.

Je comprends mieux ce point-là. Donc il est inutile de saisir des ports https dans le portail des applications ? Ou est-il plus sécurisé de rediriger les accès aux applications sur leur port https ?

il y a 2 minutes, Thierry94 a dit :

Es tu vraiment sûr que tu n'as pas de routage du 443 de la box vers le 443 du nas ?

N'aurais tu pas mis ton nas dans la dmz de la box ?

Je n'ai pas redirigé le port 443 sur ma box, la seule redirection que j'ai est sur un autre port :

De plus, mon NAS n'est pas non plus dans la DMZ de la box :

il y a 2 minutes, PiwiLAbruti a dit :

S'il n'y a aucun port d'ouvert dans les règles NAT/PAT, je ne vois que deux possibilités :

S'il y a une option UPnP sur la box SFR, désactive-la. Ce service permet à n'importe quelle application (programmes malveillants inclus) d'ouvrir automatiquement les ports dont elle a besoin sur le routeur. Les ports éventuellement ouverts par DSM apparaissent dans Panneau de configuration > Accès externe > Configuration du routeur (que tu sembles déjà avoir désactivé dans DSM, c'est une bonne chose).

S'il y a une option DMZ sur la box SFR, vérifie qu'elle est bien désactivée (aucune destination). Si l'adresse IP du NAS y est renseignée, tous les ports (de 1 à 65535) sont redirigés vers lui.

 

En complément de la réponse ci-dessus, j'avais déjà bien désactivité l'UPnP :

[Thierry94]

Aucun intérêt à utiliser dans le reverse proxy les ports https des applications plutot que les ports http.

[Ragnarou]

il y a 31 minutes, Thierry94 a dit :

Aucun intérêt à utiliser dans le reverse proxy les ports https des applications plutot que les ports http.

C'est noté !

Ceci n'explique toujours pas pourquoi j'arrive à accéder à mes applications sur le NAS alors que je n'ai pas fait de redirection du port 443...

[Thierry94]

Tu n'as bien aucunes lignes dans "Configuration du routeur" sur DSM ?
N'ayant as de box Sfr Red peux tu me dire à quoi correspond le menu "Déclenchement de ports"

[Ragnarou]

La configuration du routeur est bien vide sur DSM :

Selon la définition donnée par le routeur :

"Le déclenchement de port est une fonctionnalité avancée qui vous permet d'activer le transfert de port dynamique pour certaines applications. La passerelle surveille le trafic sortant sur les ports spécifiés par l'intervalle de déclenchement (Trigger Range). Quand elle détecte de l'activité sur ces ports, elle se « rappelle » l'adresse IP de l'ordinateur qui a envoyé les données et route le trafic sortant sur des ports faisant partie de l'intervalle cible vers cette adresse IP sur le réseau local.

Pour chaque déclenchement de port à activer il faut donc saisir le port de début et le port du fin de l'intervalle de déclenchements. Il s'agit des ports qui seront surveillés pour le déclenchement de la règle de transfert du port entrant. Ensuite saisir le port de début et le port du fin de l'intervalle cible. Il s'agit des ports entrants qui s'ouvriront lors du déclenchement. Puis sélectionnez le protocole des ports : TCP, UDP ou Les deux et cochez la case Activer pour activer le déclenchement de port."

En l’occurrence, je n'ai pas de règle de déclenchement de port de définie.

[Ragnarou]

Après avoir testé plusieurs choses sans comprendre pourquoi ça fonctionnait malgré l'absence de redirection du port 443 vers l'adresse IP de mon NAS, je me suis décidé à faire un RAZ de ma box.

Et maintenant, le comportement est celui attendu :

• Sans redirection de port 443 vers le NAS paramétré dans le routeur, je ne peux pas accéder à mes applications via le reverse proxy ;
• Si maintenant je mets cette redirection de port, alors j'arrive bien à accéder à mes applications depuis une adresse du type dsaudio.XXXX.synology.me:443

J'avoue que là, c'est un mystère de l'informatique (ou une preuve de plus de la fiabilité de SFR 😁). Mais mon problème est réglé !

Par contre, lorsque je créé un lien de partage via DS file, qui est du type https://XXXX.synology.me/sharing/aze12rt34yu, je n'arrive pas à y accéder. Cela ne passe pas par le port 443 ? Ou bien j'ai raté quelque chose ?

[oracle7]

@Ragnarou

il y a 52 minutes, Ragnarou a dit :

Si maintenant je mets cette redirection de port, alors j'arrive bien à accéder à mes applications depuis une adresse du type dsaudio.XXXX.synology.me:443

Pour mémoire le reverse proxy "écoute" en permanence le port 443, donc si ce port n'est pas redirigé, il n'entend rien !

J'en ai fait l'amère expérience il y a peu de temps.

il y a 54 minutes, Ragnarou a dit :

Par contre, lorsque je créé un lien de partage via DS file, qui est du type https://XXXX.synology.me/sharing/aze12rt34yu, je n'arrive pas à y accéder.

En fait pour que les liens DSFile fonctionnent, il ne faut pas modifier les ports par défaut de DSM. Ils doivent rester 5000 et 5001. C'est bizarre je te l'accorde mais c'est comme cela.

De toutes façons, changer les ports par défaut ne sert pas à grand chose du point de vu sécurité. Cela ne fait que retarder d'une seconde un scan malveillant (dix cit @Fenrir dans son tuto de sécurisation du NAS). De plus lors d'un scan de port, c'est la réponse d'une application derrière ce port qui importe et détermine le comportement du malveillant quelque soit le port.

Cordialement

oracle7😉

[Ragnarou]

il y a 32 minutes, oracle7 a dit :

@Ragnarou

Pour mémoire le reverse proxy "écoute" en permanence le port 443, donc si ce port n'est pas redirigé, il n'entend rien !

J'en ai fait l'amère expérience il y a peu de temps.

En fait pour que les liens DSFile fonctionnent, il ne faut pas modifier les ports par défaut de DSM. Ils doivent rester 5000 et 5001. C'est bizarre je te l'accorde mais c'est comme cela.

De toutes façons, changer les ports par défaut ne sert pas à grand chose du point de vu sécurité. Cela ne fait que retarder d'une seconde un scan malveillant (dix cit @Fenrir dans son tuto de sécurisation du NAS). De plus lors d'un scan de port, c'est la réponse d'une application derrière ce port qui importe et détermine le comportement du malveillant quelque soit le port.

Cordialement

oracle7😉

@oracle7 Merci pour ton retour.

Je n'ai pourtant pas changé les ports par défaut de DSM :

Je ne dois quand même pas autoriser dans le pare-feu l'accès en direct à DSM (ports TCP 5000 et 5001 par défaut) depuis Internet ? C'est déconseillé dans le tuto de @Fenrir

Pour info, quand je tente d'accéder au lien DSFile, mon navigateur semble tourner dans le vide, que je sois sur mon réseau ou à l'extérieur.

[oracle7]

@Ragnarou

Bonjour,

il y a 6 minutes, Ragnarou a dit :

Je ne dois quand même pas autoriser dans le pare-feu l'accès en direct à DSM

Dans le pare-feu de la Box : sûrement pas mais dans celui du NAS : OUI. Dans la Box les ports 80 et 443 doivent simplement être transférés (NAT/PAT) vers le NAS. Rien de plus.

Pour DSFile depuis l'extérieur, il faut impérativement préciser le port 443 dans l'URL de connexion. C'est aussi valable pour toutes les appli DSx.

En local c'est étonnant, vérifie ton reverse proxy à tout hazare ...

Cordialement

oracle7😉

[Ragnarou]

J'arrive bien à accéder à dsfile, en local ou depuis l'extérieur, via l'adresse dsfile.nasbenisa.synology.me:443, donc le reverse proxy fait bien son travail à ce niveau-là.

Ce que je n'arrive pas à faire, c'est accéder au lien de partage généré par dsfile, de la forme https://XXXXX.synology.me/sharing/az123rtyu , même en rajoutant le port 443 dans l'adresse (https://XXXXX.synology.me:443/sharing/az123rtyu).

J'ai donc la bonne config dans ma box. Je n'avais par contre pas autorisé les ports 5000 et 5001 dans le pare-feu du NAS, voilà chose faite :

Maintenant, voici ce qui se passe lorsque je veux accéder au lien de partage généré par dsfile :

• En local : Je suis redirigé vers la page de connexion du DSM (https://XXXX.synology.me:5001)
• Depuis l'extérieur : rien, la page semble charger dans le vide

Je suis désolé d'être un boulet, mes lacunes en réseau sont vraiment gênantes 😓

 

[oracle7]

@Ragnarou

Bonjour,

Essaies en autorisant le port 80 (règle activée) d'une part et d'autre part en autorisant le port 443 à tous les pays. Je crains que les serveurs de Synology ne soient pas situés en France, ceci expliquant cela ...

Cordialement

oracle7

[Ragnarou]

Bonjour @oracle7

J'ai fait le test ; malheureusement, ça ne fonctionnait toujours pas.

Cependant, j'ai eu une idée qui s'est avérée fructueuse (merci les transports en commun 😆) : les liens partagés générés par DS File sont de la forme : https://XXXX.synology.me:5001/sharing/a1Z2E3R4T5

Comme j'ai un reverse proxy et que je n'autorise pas l'accès à DSM depuis l'extérieur, j'ai tenté d'accéder au fichier partagé en changeant l'url pour qu'elle corresponde à celle que j'ai définie pour DS File dans mon reverse proxy : : https://dsfile.XXXX.synology.me:443/sharing/a1Z2E3R4T5

Et ça a marché ! J'arrive bien à accéder au fichier partagé, en local comme à l'extérieur. Et ainsi, je n'ai pas besoin d'ouvrir le port 80, 5000 ou 5001 :

Ça semble être un bon compromis qui permet de ne pas ouvrir trop de ports , non ?

[oracle7]

@Ragnarou

Effectivement, à la base en utilisant DSFile on est pas censé passer par un reverse proxy donc avec un reverse proxy, modifier l'URL du lien ne me parait pas choquant en soit. Cela dit,garder les ports 5000 et 5001 ouverts dans le pare-feu du NAS me parait tout de même nécessaire (sous réserve d'une contre indication que personnellement je ne connais pas).

Cordialement

oracle7😉

[Ragnarou]

@oracle7

Je vais suivre tes conseils et garder les ports 5000 et 5001 ouverts dans ce cas-là.

Merci beaucoup à tous pour votre patience et vos réponses ! ☺️