Reverse Proxy et Profils de Contrôle d'Accès

[MilesTEG1]

il y a 4 minutes, .Shad. a dit :

Si tu as un Raspberry tu l'installes aussi dessus. Moi j'ai deux Pi-hole pour justement éviter la perte de résolution lors du redémarrage de l'un ou l'autre des périphériques.

Malheureusement je n'ai pas de rPi... du coup ma seule option c'est un autre conteneur adguard home sur mon NAS 🙂 mais du coup, niveau redondance c'est plus limitée XD 

[Jeff777]

Bonjour,

Je viens de me heurter à un problème de profil d'accès.

J'ai une entrée du proxy inverse pour le dsm du type DSM.ndd. J'ai configuré un profil d'accès pour limiter à quelques IP locales et au VPN.

Tout fonctionne correctement : j'accède au dsm à partir des IP locales autorisées ou par VPN de l'extérieur.

J'ai voulu partager un dossier dans FileStation ( avec Drive c'est la même chose). Le lien est du type DSM.ndd/etc.... et donc si je transmets ce lien à un utilisateur externe il ne peut pas accéder au dossier en raison du profil d'accès.

J'ai donc momentanément désactiver le profil d'accès sur DSM.ndd..... Et là je subie une série d'attaques sur MailPlus Serveur ! Coïncidence ? Je n'avais jamais eu de pb avant la mise en place du contrôle d'accès.

Comment créer un lien partagé sans remettre en cause l'accès protégé à DSM ??

[Mic13710]

Il y a 2 heures, Jeff777 a dit :

Comment créer un lien partagé sans remettre en cause l'accès protégé à DSM ??

En utilisant un ndd sans contrôle d'accès. A paramétrer dans Accès externe, options avancées

[Jeff777]

Merci @Mic13710 j'avais effectivement commencé comme cela mais ça n'a pas fonctionné. Je réessaie ce soir

[Mic13710]

@Jeff777 Pour ma part, j'ai des contrôles d'accès sur un certain nombre de ndd internes et j'utilise mon ndd file.ndd qui lui n'a pas de contrôle d'accès et ça fonctionne nickel. Pas de raison que ça ne fonctionne pas chez toi 😉

[Jeff777]

Il y a 7 heures, Mic13710 a dit :

j'utilise mon ndd file.ndd qui lui n'a pas de contrôle d'accès et ça fonctionne nickel

Oui je suis d'accord. Mais je veux interdire l'accès extérieur à file, drive et dsm sauf en VPN .J'ai donc mis un contrôle d'accès sur les entrées correspondantes du proxy inverse. ça c'est opérationnel ....mais maintenant je veux pouvoir donner accès à des dossiers pour des utilisateurs sans utiliser le VPN.

Si je crée dans Accès externe/options avancées un ndd  par exemple part.ndd avec XXXX en port https et que je configure une entrée correspondante dans le reverse proxy sans contrôle d'accès (https://part.ndd:XXXX ===> http://Ipnas:5000), je partage un dossier et j'ai bien un lien du type https://part.ndd:XXXX/etc...   celui-ci fonctionne en locale mais pas en 4G (le port XXXX etant autorisé dans le pare-feu).🙁

[oracle7]

@Jeff777

Bonjour,

Juste une question, en fait deux :

il y a 3 minutes, Jeff777 a dit :

Mais je veux interdire l'accès extérieur à file, drive et dsm sauf en VPN .J'ai donc mis un contrôle d'accès sur les entrées correspondantes du proxy inverse. ça c'est opérationnel ...

Comment as-tu traduit cela en règles, quelles plages d'@IP as-tu autorisées et refusées ? J'ai un soucis de compréhention pour la partie VPN. Quelle plage autoriser, 10.8.0.0/24 pour OpenVPN ?

Cordialement

oracle7😉

[Jeff777]

Salut @oracle7

J'ai mis 10.0.0.0/8

[oracle7]

@Jeff777

Bonjour,

A oui carrément tout le sous-réseau 10 ! Cà fait quand même 16777214 machines ou @IP !

Avec 10.8.0.0/24 je n'en autorise que 254.

Merci tout de même de ta réponse.

Cordialement

oracle7😉

[Jeff777]

 

Il y a 18 heures, Mic13710 a dit :

Pour ma part, j'ai des contrôles d'accès sur un certain nombre de ndd internes et j'utilise mon ndd file.ndd qui lui n'a pas de contrôle d'accès et ça fonctionne nickel.

Bon j'ai réussi (pb de cache 🙄). Mais il suffit d'effacer la fin du lien et de ne garder que https://part.ndd:XXXX et on atteint le DSM. Donc ce n'est pas parfait mais je m'en contenterai.

[MilesTEG1]

 

@Jeff777 Tu peux personnaliser l'adresse qui sera présente dans le lien de partage ici :

Ça passe par mon reverse proxy 😉

Lorsque je me connecte à DSM avec le nom de domaine dédié : dsm.mon-ndd.tld, je partage un fichier et j'ai un lien files.mon-ndd.tld .
Et tout fonctionne parfaitement 😉 

[Jeff777]

@MilesTEG1

Je me suis certainement mal exprimé. Je recommence :

Mon entrée de proxy inverse dsm.ndd avec un profil d'accès, appelons le local, qui limite les connexions au réseau local plus VPN en accès externe sécurise mon accès au DSM. J'y accède depuis deux périphériques en accès locale (mon PC et ma tablette) et depuis la tablette en utilisant VPN serveur depuis l'extérieur. Parfait!

Maintenant j'essaie de transmettre à un utilisateur un lien vers un dossier de mon NAS sans compromettre la sécurité obtenue. Je ne peux pas utiliser file.ndd car celui-ci est aussi protéger avec le contrôle d'accès "local".

J'ai donc utilisé l'onglet Accès externe onglet avancé et mis part.ndd et 443 en port https.

J'ai configuré une nouvelle entrée de proxy inverse https://part.ndd ==> http://ipdunas:5000 (ou 7000 ça fait pareil) sans configuré le profil d'accès.

Ceci fonctionne bien en interne comme en externe mais si on ne garde que la partie part.ndd  du lien on arrive sur la page d'accueil du DSM (ou de Filestation), ça ruine donc le contrôle d'accès mis en place.

Je crois que je vais devoir me contenter de cela.

Le top serait que le lien n'affiche pas part.ndd mais est-ce possible?

[.Shad.]

D'un côté tu réserves l'accès à File Station aux clients locaux et VPN, et de l'autre côté tu crées un autre accès qui s'en affranchit. Pour moi ça revient à mettre une porte blindée juxtaposée à une porte classique, c'est contradictoire.

[Jeff777]

@.Shad.Oui c'est bien là mon problème. Comment obtenir un lien qui permet un accès public sécurisé par un mot de passe sans remettre en cause le contrôle d'accès au Dsm ou Filestation tel que je l'ai mis en place ???

[.Shad.]

@Jeff777

Ben comme l'a dit @Mic13710, à part décider que File Station ne se trouve pas derrière un profil de contrôle d'accès...
Il faut savoir qu'Nginx embarque la possibilité d'ajouter un blocage GeoIP pour un sous-domaine particulier, c'est une manière de renforcer la sécurité. Mais dans la mouture DSM je ne pense pas que ce soit (facilement) faisable.

Donc soit passer sur un autre proxy inversé que celui du NAS pour des réglages plus fins, soit rester ainsi et faire un choix au niveau des accès possibles à File Station.

Tu peux très bien faire en sorte que tes utilisateurs réguliers du NAS doivent se connecter via la 2FA. Puis définir un utilisateur de partage, avec des droits RO sur les dossiers contenant des fichiers susceptibles d'être partagés, avec un mot de passe fort (30-40 caractères). Sans compter le fail2ban de DSM.

En terme de sécurité, ça me semble déjà solide...

 

[Mic13710]

@Jeff777

Si file.ndd a un profil d'accès, tu peux utiliser un autre domaine exclusivement pour cette fonction share.ndd, part.ndd, cequetuveux.ndd, peu importe.

Il y a 21 heures, Jeff777 a dit :

Comment obtenir un lien qui permet un accès public sécurisé par un mot de passe

Dans la création du lien, on peut activer le partage sécurisé pour soit limiter l'accès à certains utilisateurs du NAS qui pourront se connecter avec leurs identifiants, soit définir un mot de passe pour les utilisateurs externes. Et comme le dit @.Shad. tu peux créer un utilisateur dédié à cette seule fonction, avec seulement des droits RO, un mdp fort et même du 2FA (mais là c'est plus compliqué pour les utilisateurs occasionnels qui devront avoir la clé pour pouvoir générer les codes). Avec le fail2ban du NAS par dessus tout ça, le risque d'une intrusion non sollicitée est très faible. 

[Jeff777]

Bonjour et merci de vos réponses @.Shad. et @Mic13710

Donc j'ai laissé l'entrée du proxy inverse de Filestation avec son contrôle d'accès. Je créé une autre entrée qui pointe vers le port de FileStation mais sans contrôle d'accès et j'ai mis ce nouveau nom d'hôte dans accès externe/avancé.

Pour sécuriser un peu plus je vais changer la nouvelle entrée avec un nom compliqué du style xwgcgopohyuejjsdl.ndd

(est-ce que l'on peut mettre des chiffres, caractères spéciaux et majuscules dans les entrées du proxy inverse DSM?)

Je ne souhaite pas utiliser le 2FA et vais plutôt utiliser le partage sécurisé avec mot de passe que de limiter l'accès par utilisateur.

Par contre le fail2ban du NAS, je ne me suis jamais posé la question, est-ce quelque chose de différent et/ou plus efficace que le blocage auto ?

 

[Mic13710]

fail2ban ou blocage auto, on parle de la même chose.

[Jeff777]

il y a 1 minute, Mic13710 a dit :

fail2ban ou blocage auto, on parle de la même chose.

Ah comme Mr Jourdain je le faisais sans le savoir 😅

[Mic13710]

il y a 18 minutes, Jeff777 a dit :

est-ce que l'on peut mettre des chiffres, caractères spéciaux et majuscules dans les entrées du proxy inverse DSM?

Les ndd du reverse proxy devraient suivre les règles générales des noms de domaine. On peut utiliser des caractères accentués propres au pays (é, è, ê, à, ñ, etc..) ce qui peut poser des problèmes selon le clavier utilisé. Autant ne pas les utiliser et rester dans du classique. On peut aussi utiliser des majuscules dans la rédaction d'une URL, elles seront converties en minuscules par le navigateur (par exemple GOOGLE.FR sera transformé en google.fr), mais elles ne sont pas acceptées dans les ndd de la zone DNS qui ne doivent contenir que des minuscules. Rien ne t'empêche d'essayer 😉

[Jeff777]

@Mic13710

merci. En fait  je viens d'essayer et quand un caractère n'est pas accepté (par exemple @) la case se colore en rouge.

Edit : c'est aussi vrai pour l'hôte à configurer dans accès ext/avancé qui est plus restrictif.

Modifié le 7 juillet 2021 par Jeff777

[Jeff777]

Je reviens sur ce sujet pour exposer un problème que je n'arrive pas à résoudre.

J'ai mis en place le contrôle d'accès sur les entrées du proxy inverse.

Certaines entrées sont sans contrôle d'entrée et d'autre avec un contrôle d'entrée limité aux adresses locales, VPN et quelques autres. Tout cela fonctionne parfaitement bien dans les cas suivants :

En local, toutes sont accessibles,

Le smartphone de mon épouse en 4G (sans WIFI) paramétré en point d'accès, je m'y connecte en WIFI avec ma tablette:

Tout fonctionne avec VPN activé, et sans VPN pas d'accès aux entrées avec contrôle d'accès. tout ceci est normal

Par contre si je veux me connecter directement avec le smartphone en 4G toujours sans WIFI même avec le VPN je n'arrive pas à me connecter aux entrées avec contrôle d'accès.

Je tourne en rond 🙄 Quelqu'un aurait-il une idée ?

[.Shad.]

Quel numéro d'erreur ?

Ca serait déjà un indice. 🙂 

[Jeff777]

Je reçois la page qui dit : la page que vous recherchez n'existe pas.

Edit : donc la même que je reçois quand l'accès est interdit par le contrôle d'accès

Modifié le 12 août 2021 par Jeff777

[MilesTEG1]

il y a 33 minutes, Jeff777 a dit :

Je reçois la page qui dit : la page que vous recherchez n'existe pas.

Edit : donc la même que je reçois quand l'accès est interdit par le contrôle d'accès

Ce serait pas le téléphone en 4G qui ne ferait pas correctement la connexion VPN ? Ça ressemble à une identification erronée de l’ip. Comme si via la 4G et le VPN l’ip que tu avais n’était pas une autorisée donc un IP VPN…

pour résoudre un soucis similaire, mais pas trop : via mon ndd depuis le lan j’étais bloqué. J’ai du faire une réécriture dns dans adguard home pour que l’ip ne soit plus celle de ma box wan mais bien une Ip lan.

Je viens de tester j’ai la 4G de mon iPhone de me connecter au SSL VPN de mon RT : j’ai bien accès au nom de domaine avec profil d’accès.

mais j’ai fait en sorte que le serveur dans du serveur VPN soit mon conteneur adguard.